0x00 简介
Node.js是一个基于Chrome V8引擎的JavaScript运行环境,用于方便的搭建响应速度快、易于拓展的网络应用。Node使用Module模块划分不同的功能,每一个模块都包含非常丰富的函数,如http就包含了和http相关的很多函数,帮助开发者对http、tcp/udp等进行操作或创建相关服务器。
0x01 漏洞概述
Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数中注入payload执行系统命令。
0x02 影响版本
Systeminformation < 5.3.1
0x03 环境搭建
-
本次测试环境使用的是kali 2020.4版本,首先下载受影响的Node.js,这里使用的是v12.18.4。
wget https://nodejs.org/dist/v12.18.4/node-v12.18.4-linux-x64.tar.xz
-
解压
tar -xvf node-v12.18.