最新公告
  • 欢迎您光临起源地模板网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入钻石VIP
  • 字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    正文概述 掘金(字节跳动无恒实验室)   2021-02-07   657

    一、背景

    此前,无恒实验室成员在对nodejs原型链污染漏洞进行梳理时,发现原型链污染漏洞可结合模板引擎的渲染达到远程命令执行的效果。为什么原型链污染能结合模板引擎能达到这样的效果?模板引擎究竟是如何工作的?除了原型链污染,还有其他方式也能达到同样的效果吗?带着这样的疑问,无恒实验室成员决定对nodejs模板引擎的内在机制进行一些探索。

    二、Nodejs模板引擎现状

    目前JavaScript生态圈里面的模板引擎非常之多,各引擎的实现原理及特性都不尽相同,很难找到一款功能丰富、书写简单、前后端共用的模板引擎,因此有开发者设立了一个根据不同需求挑选不同引擎的网站garann.github.io/template-chooser。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    根据npm的官方数据,目前较受欢迎的模板引擎下载量分别如图2所示。无恒实验室根据已有的服务端引擎框架,挑选了目前下载量较大,开发者常用的几种模板引擎进行分析,发现模板引擎的渲染原理基本上都差不多,只是在一些细节的处理方式不太一致。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    三、引擎使用方式

    大多数模板渲染引擎在工作时基本都对外提供了一个render函数,这个函数一般至少需要两个参数,一个是渲染的模板template,一般都为字符串,另一个是要被渲染进模板的数据data,以object(即键值对)的形式传入。render函数一般都具有以下的形式:

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    以下面的ejs渲染代码为例,“./views/index.ejs”为模板文件的位置,{message: 'test'}为要渲染进模板中的数据:

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    其中,“./views/test.ejs”文件内容如下:

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    渲染结果如下,将message对应的值test渲染进模板中。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    在render函数中,除了这两个参数之外,多数模板引擎还提供了可控制渲染特性的参数options,用来对模板对渲染特性进行控制,比如是否开启调试功能,是否开启缓存机制,是否打印报错信息,以ejs为例, 可通过设置compileDebug来开启调试语句。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    四、引擎渲染机制

    基本上所有模板引擎的渲染机制都包含两个步骤:

    步骤一:根据模板数据进行定位与分割,根据各模板定义的特殊符号找到要被替换的数据。

    步骤二:根据提供的键值对和定位的结果进行值的替换、拼接,最终得到渲染的结果。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    在本次的分析中,无恒实验室主要对Mustache和ejs两种引擎的渲染机制进行阐述,其他引擎的渲染过程大致相同。

    4.1 定位

    大多数渲染引擎都规定了要被替换的数据必须被某些符号所包裹,比如Mustache默认的符号是 {{ }} ,而ejs默认的符号是<%= %>,因此引擎在工作时,首先要在传入的模板字符串中寻找到这些特殊符号。这一步不同引擎实现方式不同,如Mustache,Nunjucks是通过词法解析也就是采用字符扫描的方式对模板字符串进行扫描,从而定位特殊符号的位置,以如下Mustache的渲染代码为例:

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    Mustache相应的定位代码如下,其中scanner负责对模板字符串进行扫描,扫描的结果为会存入多个token对象中。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    最终会对每一个扫描到的token进行分类和相应值、位置的存储,并放入到tokens中供后续的使用。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    示例模板字符串“whoareyou {{title}}”的扫描结果如下所示,“whoareyou ”会被标记为text类型,也就是纯文本,而"titile"会被标记为name类型,是要被替换的数据。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    而ejs则是直接通过正则匹配的方式,循环定位特殊符号的位置。最终模板引擎可根据特殊符号的位置找到要被替换的原始数据,以对如下的模板字符串进行定位为例:

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    ejs会调用parsteTemplateText函数进行定位,其中this.templateText为原始的模板字符串,this.regex为指定的特殊符号(也就是ejs指定的'<%'、'%>'等),接下来则会通过while循环不断匹配将原始模板字符串分割。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    最终分割示例模板字符串的结果如下所示,可以看到要被替换的数据message已经被定位出来了。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    4.2 替换

    在定位到要被替换的原始数据后,模板引擎则开始根据输入对原始数据进行替换操作。这一步不同引擎的替换方式也不一样。Mustache(包括Handlebars)的替换方式非常简单粗暴,就是直接替换,代码如下所示:

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    如上所示,如果检测到token为name类型,也就是要被替换的类型,则调用escapedValue函数,该函数中会调用lookup,根据token找到对应的值。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    context.lookup最终会寻找到对应的title的值,也就是joe。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    Pug, Nunjucks, ejs等引擎的替换过程就略显麻烦,ejs的render函数中,会先调用handleCache函数。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    把如下的代码拎出来,可以看到handleCache(opts, template)的结果是一个匿名函数

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    而result就是最终的渲染结果,这也就意味着,ejs的具体渲染过程是由函数进行控制的,最终会等价于:

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    而在handleCache函数中,这个匿名函数是经过compile编译而来的。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    跟进compile函数中,可以看到最终调用了Function函数构造器动态构造了一个匿名函数。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    以上面的ejs示例代码为例,渲染引擎最终构造的匿名函数如下所示,通过__append得到最终要渲染的模板数据,这里同样会采用escapeFn防止xss,可以看到ejs的处理过程,实际上也是根据定位分割的结果进行处理拼接的过程。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    五、ejs模板引擎远程代码执行漏洞(CVE-2020-35772)

    从上面的分析可以看到,ejs的渲染,是通过 “动态生成函数代码 -> 生成匿名函数 -> 调用匿名函数” 的方式去实现的(实际上Nunjucks, pug等许多引擎都是这么实现的),而这种方式是相当危险的,一旦动态生成的函数代码中存在用户可控的部分,恶意用户就可以在匿名函数中插入恶意代码并且会被渲染引擎所执行,最终导致远程代码执行漏洞。之前GYCTF2020 Ez_Express的题就是利用了ejs的这种特性。

    其利用原理如下,ejs在渲染时会获取渲染选项的某些值拼接进函数代码中,其中就包括动态拼接outputFunctionName这个选项的值进函数代码中,但是ejs的作者从一开始就禁止了用户对渲染选项中outputFunctionName进行操控,同样也包括其他的选项。既然无法从正面进行操控,可以利用javascript的原型链污染,往Object中注入outputFunctionName属性进而操控。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    5.1 渲染选项的污染

    能不能不通过原型链污染的方式注入恶意代码?

    来看看ejs渲染的入口函数render,其接受三个参数,第一个是template,为模板字符串,第二个为data,一般会是用户可控的数据,第三个为渲染选项opts,这个渲染选项可控制匿名函数代码的生成。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    ejs为了保持可用性,允许第二个参数(一般是用户可控参数)使用一些渲染选项,但是这些选项是有限定的,在代码中被utils.shallowCopyFromList(opts, data, _OPTS_PASSABLE_WITH_DATA)函数所限定,“_OPTS_PASSABLE_WITH_DATA”指定了可控制的范围,该范围如下:

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    最终这些渲染选项会进入到compile函数也就是匿名函数代码生成的过程中,也就是说,若用户数据能够控制传入的data选项,那么恶意用户就能污染opts中的“delimiter”, “scope”, “context”,“debug”,“compileDebug”, “client”,“_with”,“rmWhitespace”,“strict”,“filename”, “async”。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    5.2 匿名函数代码的生成

    那么这些可污染选项,能对匿名函数代码的生成造成什么影响呢?继续跟进渲染引擎发现,匿名函数代码在动态生成的过程中,由三部分构成,分别是prepended, this.source, append三部分,而这三个部分的代码又受到了渲染选项的影响

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    逐步跟进匿名函数代码的生成,首先可以看到outputFunctionName, localsName, destructuredLocals这个几个渲染选项可影响prepended代码的生成,但是这些选项都不在可控的范围内。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    继续跟进函数代码的生成过程,如下所示,compileDebug是在可控范围内,filename也在可控范围内,但是filename被JSON.stringify进行转换了,无法逃逸出来,因此也无法污染函数代码。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    接下来继续跟进,可以看到在如下的代码中,compileDebug和filename都是我们可控的,并且最后filename也被直接拼接进匿名函数的代码中,因此在这里就可以通过控制filename选项注入恶意的代码。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    5.3 恶意代码的注入

    直接编写如下的代码,看看最终生成的匿名函数的源码是怎么样的。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    如下所示,可以看到/etc/passwd最终被插入到一个注释的行中:

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    此时对payload进行修改,加入换行符逃逸注释。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    得到的结果结果如下,可以看到通过换行符已经成功逃逸了注释,但是,对于这样一个函数,其正常的流程走到try的代码块时,除非出现异常,否则的话直接走到return代码就执行结束了,压根不会走到我们注入的代码。除非能触发异常继续走下去,但是看try块里面的代码,基本没有可触发异常的逻辑。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    5.4 finally逃逸try catch限制

    在常见的编程语言中,try catch实际上还可以再接一个finally,无论最终try cath如何,都会走到finally中的代码块,但是return的情况下,还能执行finally吗,paylaod如下:

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    来看看最终生成的代码:

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    试了一下,还是能走到finally代码块的,最终注入的代码被引擎所执行

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    实际上,采用动态生成函数进行渲染的引擎中,除了ejs,还有pug,nunjuck等,那么其他引擎是否也存在同样的问题?无恒实验室也对其他的模板引擎进行了分析,发现其他引擎虽然也采用了这种方式进行渲染,但是较好的控制住了渲染选项对函数代码的影响。

    5.5 影响版本

    在实际的测试过程中,发现在较老的ejs版本上,并不存在该漏洞,影响版本范围为: 2.7.2(包括2.7.2)到最新版(3.1.5)。

    5.6 利用难度

    如上的漏洞实际上要求服务端的代码直接拿用户可控的json数据进行渲染,包括key和value。对于正常的服务端框架来说,框架中间件是能将传入的json数据转换为json对象的,比较少有开发会直接拿整个json数据进行渲染,但是也存在研发直接使用JSON.parse解析用户数据进行模板渲染的用法。

    5.7 临时修复方案

    发现了该漏洞之后,无恒实验室及时与ejs的作者取得联系,ejs的作者阐述这实际上属于模板引擎本身的特性,用户可控的json数据不应该被直接传入进行使用,暂无提供修复版本的计划。

    无恒实验室对该问题进行披露,希望能够帮助受影响的业务避免潜在的安全风险。若有线上业务代码符合漏洞的触发条件,因目前ejs暂无修复的版本,无恒实验室提供如下的几个临时的修复方案:

    • ○ 若无版本要求,建议使用不在影响范围内的版本,如2.7.1。
    • ○ 若在受影响版本范围内,建议不直接获取用户的json数据进行模板渲染。
    • ○ 若需要直接获取用户数据进行模板渲染,确保用户数据中不存在compileDebug和filename选项或者这些选项的值不可控。可采用如下的安全检测函数。

    字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    六、结束语

    开源对于软件的发展具有重大的意义,许多企业的业务中或多或少都引入了开源的第三方依赖,使企业可以更关注于业务的发展。但是在引入第三方依赖的同时,也不可避免地引入开源代码中的安全漏洞,这些安全漏洞往往能对业务造成致命的打击。随着越来越多的第三方依赖漏洞被披露,越来越多的企业也开始重视第三方依赖的安全性。

    无恒实验室致力于为公司业务保驾护航,亦极为重视第三方依赖对业务安全的影响,在检测公司引入的第三方依赖安全性的同时,无恒实验室也着力于挖掘第三方依赖中未曾被披露的漏洞与安全隐患,给出靠谱修复方案与防御措施,并将持续与业界共享研究成果,协助企业业务避免遭受安全风险,亦望能与业内同行共同合作,为网络安全行业的发展做出贡献。

    关于无恒实验室:

    无恒实验室是由字节跳动资深安全研究人员组成的专业攻防研究实验室,实验室成员具备极强的实战攻防能力,研究领域覆盖渗透测试、APP安全、隐私保护、IoT安全、无线安全、漏洞挖掘等多个方向。实验室成员为字节跳动各项业务保驾护航的同时,不断钻研攻防技术与思路,发表多篇高质量论文和演讲,发现大量影响面广的0day漏洞。无恒实验室希望以最为稳妥和负责的方式降低网络安全问题对企业的影响,同时,通过实验室的技术沉淀、产品研发,致力于保障字节跳动旗下业务与产品的用户安全,让世界更加美好更加安全!

    加入无恒实验室:https://security.bytedance.com/static/lab/index.html


    起源地下载网 » 字节跳动无恒实验室:Nodejs中模板引擎渲染原理与潜在隐患探讨

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    模板不会安装或需要功能定制以及二次开发?
    请QQ联系我们

    发表评论

    还没有评论,快来抢沙发吧!

    如需帝国cms功能定制以及二次开发请联系我们

    联系作者

    请选择支付方式

    ×
    迅虎支付宝
    迅虎微信
    支付宝当面付
    余额支付
    ×
    微信扫码支付 0 元