Kibana RCE 漏洞简单分析

其他不多说 具体的都在这个帖子里说清楚了js的原型链是啥了。技术请参考如下帖子

Javascript原型链攻击与防御

，

今天的这个原型链攻击也是一样的

poc大家百度搜下应该都有，我就不发了，这里是公众号 就不传播黑客技术了。

分析：

触发的方法很简单 就把poc 粘贴在"timelion"里 然后运行下，然后你再点击左边的“canvas”就成功了。

原因就是canvas点击后会创建一个新的node 子进程。然后在这个进程里的环境变量通过原型链已经被污染了，所以运行的时候覆盖了NODE_OPTIONS这个变量来引入环境变量，环境变量通过_evn.AAA来设置(这也是一个原型链攻击来污染的变量)。

不难看出 这个是一个命令行里参数没做好的一个完全不起眼的安全问题来配合实现RCE，如果你认真去看过官方的内容 你会发现2个RCE漏洞。我猜测这就是2个漏洞组合在一起的，所以会有2个CVE，其实效果是共同实现这个RCE，但是2个分开报漏洞又合理。

为啥 因为

NODE_OPTIONS='--require /proc/self/environ' AAA='console.log(/hacked/.source)//' node

这个命令行参数可以这么输入…… 官方也觉得 这个命令的安全问题不是问题，谁能控制你命令行啊？能控制 早就shell了。所以这个算是一个…严重低危的bug吧。官方也不会管这个的，但是引入了原型链来污染这个环境变量…… 估计也没想到吧 作者一组合。。卧槽 就命令执行了。。

超级低危BUG+ 原型链污染 = 远程命令执行

谁……能想到啊I&^%$#$%^&*(*&^%$#

时间：

2月份的CVE

2-3月官方出了补丁的

2天前大佬在owasp一个会议上把PPT放出来

1天前twitter上开始传播

今天下午有人看到了阿里云大佬转发的PPT，开始发漏洞公告

总结：可能大家不熟悉js  所以犹豫着要不要发 危害大不大，能不能让我装够B，为啥我触发不来啊，要不要登录啊，卧槽 kibana是什么东西啊？

漏洞发现者的原版PPT：

https://slides.com/securitymb/prototype-pollution-in-kibana/#/53

本文始发于微信公众号（xsser的博客）：Kibana RCE 漏洞简单分析