Vulhub漏洞系列:Couchdb漏洞(CVE-2017-12635、CVE-2017-12636)

最新推荐文章于 2024-05-18 08:00:00 发布
最新推荐文章于 2024-05-18 08:00:00 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: vulhub漏洞复现系列 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43072923/article/details/117132031
版权

Vulhub漏洞系列:Couchdb漏洞(CVE-2017-12635、CVE-2017-12636)

00.前言

这篇文章将对该漏洞进行简介并复现,同时简要说明Vulhub的使用方法,适合小白一起学习,大佬看看就好☺

01.Couchdb简介

CouchDB是一个利用JSON文件来存贮数据,javascript作为MapReduce查询,以及常规HTTP作为API的且面向文档的开源数据库管理系统。

02.漏洞描述

0x01:CVE-2017-12635:

该漏洞的原理是因为Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性。这个漏洞可以让任意用户创建管理员,属于垂直权限绕过漏洞。

% Within couch_util:get_value

lists:keysearch(Key, 1, List).

点击查看keysearch原理(不带函数Pred的第14条)

对于给定的键,Eralang解析器将存储两个值,但是JavaScript只存储第二个值。但是在jiffy实现的时候,getter函数只返回第一个值

举个栗子:

Erlang:
jiffy:decode("{“a”:“1”, “a”:“2”}").
结果:{[{<<“a”>>,<<“1”>>}{<<“a”>>,<<“2”>>}]}

JavaScript> JSON.parse("{“a”:“1”, “a”: “2”}")
结果{a: “2”}

0x01:CVE-2017-12636:

该漏洞由于数据库自身设计原因,管理员身份可以通过HTTP(S)方式,配置数据库。在某些配置中,可设置可执行文件的路径,在数据库运行范围内执行。

CVE-2017-12635结合CVE-2017-12636可实现远程代码执行

03.漏洞复现

  首先,在vulhub-master中漏洞的相应位置打开终端,输入docker-compose up -d打开环境:

  docker-compose up -d

  然后输入docker ps查看环境是否打开成功:

  docker ps

1.访问搭建完成以后的couchdb(该环境为2.1.0版本)http://192.168.10.139:5984/_utils/#login:
在这里插入图片描述我们先尝试构建用户的数据包:
在这里插入图片描述可以看出我们是没有权限的,所以会报错forbidden。其中org.couchdb,user: $ name 与name: $ name是对应的,接下来我们开始利用漏洞原理进行攻击:

在这里插入图片描述发现返回200,攻击成功,账号和密码分别是ccooll,123456。用该账户进行登录:
在这里插入图片描述CVE-2017-12635漏洞复现成功!

接下来根据上面漏洞获得的管理员账号进行CVE-2017-12636漏洞的复现,因为该必须登录到管理员用户才能进行操作。我们先下载该漏洞的poc:https://github.com/vulhub/vulhub/blob/master/couchdb/CVE-2017-12636/exp.py,然后将exp.py里的相应ip和couchdb版本号进行修改即可:
在这里插入图片描述

用攻击机开启监听443端口,然后在有python3的机子上运行exp.py:
在这里插入图片描述

这样攻击机便与建立了会话连接且是root权限:
在这里插入图片描述

成功反弹,CVE-2017-12636漏洞也复现成功。

最后复现完漏洞就可以关闭环境了:

  docker-compose down

参考:https://mp.weixin.qq.com/s/UZwE15VEjHjVkv9mC_uLLQ

结束语:这是抬锅整理出来的复现过程希望能对大家有帮助☺

ccooll_快乐的抬锅哟
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Apache CouchDB信息泄露漏洞(CVE-2023-26268)通告
05-05
近日,深信服安全团队监测到 Apache CouchDB 组件存在信息泄露漏洞漏洞编号:CVE-2023-26268,漏洞威胁等级:中危。 该漏洞是由于对部分设计文档函数的限制存在错误,攻击者可利用该漏洞,构造恶意数据调整 ...
12 - vulhub - Couchdb 垂直权限绕过漏洞CVE-2017-12635
易编橙 · 终身成长社群,相遇已是上上签!
10-21 456
Apache CouchDB是一个开源的NoSQL数据库,专注于易用性和成为“完全拥抱web的数据库”。它是一个使用JSON作为数据存储格式,javascript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。 在2017年11月15日,CVE-2017-12635CVE-2017-12636披露,CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员,属于垂直权限绕过漏洞
[ vulhub漏洞复现篇 ] vulhub 漏洞集合(含漏洞复现文章连接)
热门推荐
qq_51577576的博客
09-21 1万+
介绍:Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。 计划:这里记录了 vulhub 所有的漏洞,本专栏也会将这些漏洞全部复现,欢迎持续订阅 我也会不定期再中间更新复现文章链接 目的:以复现 vulhub 漏洞为路径,展示不同的渗透思路及手法,同类漏洞我会尽量用多种渗透思路进行复现,不仅仅是提高个人能力,也是想再 CSDN 这个平台认识更多的安全爱好者
未授权访问:CouchDB 未授权访问漏洞
最新发布
qq_68163788的博客
05-18 446
Apache CouchDB是一个开源数据库,应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序),默认会在5984端口开放Restful的API接口,如果使用SSL的话就会监听在6984端口,用于数据库的管理功能。 其HTTP Server默认开启时没有进行验证,而且绑定在0.0.0.0,所有用户均可通过API访问导致未授权访问。
[Vulhub] ThinkPHP漏洞合集
weixin_45605352的博客
05-11 2423
0x01 复现环境 攻击机:kali linux,Windows 10 x64 靶机:XXE(下载链接https://www.vulnhub.com/entry/xxe-lab-1,254/) 网络设置:均为桥接模式 0x02 漏洞复现 主机发现&端口扫描 先确定靶机ip地址,这里用arp-scan -l命令探测内网: 发现靶机地址为192.168.43.228,接下来用nmap -sV -p- 192.168.43.228 扫描一下: -sV:探测端口服务版本;-p:指定端口;-v:显示扫描过
vulhub漏洞复现二十_GitList
weixin_44193247的博客
01-30 986
vulhub漏洞复现练习篇
(二)vulhub专栏:Shiro漏洞复现汇总
云舒的博客
06-03 1889
Shiro漏洞复现汇总
couchdb-query-explorer:“ couchdb-query-explorer”有助于轻松查询CouchDB NoSQL数据库
02-04
长沙发查询查询器“ couchdb-query-explorer”有助于轻松查询。 如何建造? 这是一个Angular 7项目,运行常规命令: npm安装ng serve(在端口4200上运行本地服务器) ./docker-build.sh(创建生产版本并将其捆绑在...
CouchDBClient:CouchDB客户端-.NET客户端框架,用于使用CouchDB
02-03
CouchDBClient(CouchDB .NET客户端) CouchDBClient是用于从.NET代码使用CouchDB的框架。 它抽象化并简化了CouchDB的用法,因此您可以轻松地从应用程序代码中使用它。 在框架下掩盖了使用纯json和http请求/响应的...
guile-couchdb:指导方案的Couchdb
02-04
1. 连接CouchDB:通过`make-couchdb-client`函数建立到CouchDB服务器的连接,指定URL和认证信息。 2. 创建数据库:使用`create-database`函数创建一个新的数据库,如`create-database '("mydb")`。 3. 存储文档:将...
couchdb-github-action:在Github Action上运行CouchDB
02-05
CouchDB-Github-Action是将开源文档数据库CouchDB集成到GitHub Actions中的工具,它使得开发者能够在持续集成(Continuous Integration, CI)流程中利用CouchDB进行测试、部署和其他数据库相关的任务。GitHub ...
couchdb-orm:一个简单的CouchDB ORM
02-04
"couchdb-orm"项目就是这样一个专门为CouchDB设计的ORM框架,它旨在为Crystal编程语言提供方便、直观的数据库访问接口。 CouchDB是一款基于JSON文档的分布式数据库,其核心特性包括强大的文档存储、视图(View)...
nifi-couchdb:与CouchDB 2集成的Nifi处理器
02-03
nifi-couchdb 该项目提供了许多Nifi处理器,用于从CouchDB 2数据库获取文档和数据以及将文档和数据放入CouchDB 2数据库。 尚处于初期阶段-但我们有以下处理器可以工作: GetCouchDBAllDocuments-获取指定数据库的...
Kitura-CouchDB:用于Kitura的CouchDB适配器
02-03
Kitura-CouchDB是专为Kitura框架设计的一个CouchDB适配器,它使得在Swift后端开发中集成CouchDB数据库变得简单易行。Kitura是一个强大的、开源的服务器端Swift框架,用于构建可扩展和安全的网络应用程序。而CouchDB...
Vulhub漏洞系列:Weblogic WLS Core Components 反序列化命令执行漏洞CVE-2018-2628)
weixin_43072923的博客
10-16 3494
xxx:xxx00.前言01.简介02.漏洞描述03.漏洞复现 00.前言 这篇文章将对该漏洞进行简介并复现,同时简要说明Vulhub的使用方法,适合小白一起学习,大佬看看就好☺ 01.简介   Oracle 2018年4月补丁中,修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。 参考链接: http://www.oracle.com/technetw
CVE-2017-12635 Couchdb 垂直权限绕过漏洞复现
weixin_45260839的博客
06-18 977
CVE-2017-12635 Couchdb 垂直权限绕过漏洞复现
CouchDB垂直越权漏洞CVE-2017-12635
Kevin's Blog
07-24 1848
文章目录一、漏洞原理二、触发条件三、漏洞场景 / 挖掘思路四、漏洞复现4.1 漏洞环境4.2 启动环境4.3 访问环境五、防御措施 一、漏洞原理 二、触发条件 三、漏洞场景 / 挖掘思路 四、漏洞复现 4.1 漏洞环境 4.2 启动环境 4.3 访问环境 五、防御措施 ...
root:$6$RMpgG8z.$GrGzDK0J1/uXc/Z2WIp6WgIYEB6Bi/Sw2aCc86U2E.BK80mszROf4K1ZB172DOQzgRb6U/2jGPh/8rwXQsbM3/:17277:0:99999:7::: daemon:*:17272:0:99999:7::: bin:*:17272:0:99999:7::: sys:*:17272:0:99999:7::: sync:*:17272:0:99999:7::: games:*:17272:0:99999:7::: man:*:17272:0:99999:7::: lp:*:17272:0:99999:7::: mail:*:17272:0:99999:7::: news:*:17272:0:99999:7::: uucp:*:17272:0:99999:7::: proxy:*:17272:0:99999:7::: www-data:*:17272:0:99999:7::: backup:*:17272:0:99999:7::: list:*:17272:0:99999:7::: irc:*:17272:0:99999:7::: gnats:*:17272:0:99999:7::: nobody:*:17272:0:99999:7::: systemd-timesync:*:17272:0:99999:7::: systemd-network:*:17272:0:99999:7::: systemd-resolve:*:17272:0:99999:7::: systemd-bus-proxy:*:17272:0:99999:7::: _apt:*:17272:0:99999:7::: mysql:!:17272:0:99999:7::: epmd:*:17272:0:99999:7::: Debian-exim:!:17272:0:99999:7::: uuidd:*:17272:0:99999:7::: rwhod:*:17272:0:99999:7::: redsocks:!:17272:0:99999:7::: usbmux:*:17272:0:99999:7::: miredo:*:17272:0:99999:7::: Debian-snmp:!:17272:0:99999:7::: ntp:*:17272:0:99999:7::: stunnel4:!:17272:0:99999:7::: sslh:!:17272:0:99999:7::: rtkit:*:17272:0:99999:7::: postgres:*:17272:0:99999:7::: dnsmasq:*:17272:0:99999:7::: messagebus:*:17272:0:99999:7::: iodine:*:17272:0:99999:7::: arpwatch:!:17272:0:99999:7::: couchdb:*:17272:0:99999:7::: avahi:*:17272:0:99999:7::: sshd:*:17272:0:99999:7::: colord:*:17272:0:99999:7::: saned:*:17272:0:99999:7::: speech-dispatcher:!:17272:0:99999:7::: pulse:*:17272:0:99999:7::: king-phisher:*:17272:0:99999:7::: Debian-gdm:*:17272:0:99999:7::: dradis:*:17272:0:99999:7::: beef-xss:*:17272:0:99999:7::: xrdp:!:17472:0:99999:7::: lightdm:*:17472:0:99999:7::: ctf:$6$d1Y17YhS$P1G.pKFO6VKvKx.y0H7nP5kXAHUAhj6hYroEA.ThT1/kErw37IhVclt.UWCFXrfq/sEZk1jhb52KlPWidJKpp0:17473:0:99999:7:::
07-13
这是一个密码文件(/etc/shadow)的示例。这个文件存储了每个用户的加密密码和其他相关信息。每一行代表一个用户,由多个字段组成,用冒号分隔。字段的含义如下: - 用户名 - 加密后的密码(以 $ 开头) - 最后一次修改密码的日期(自1970年1月1日以来的天数) - 密码过期后需要等待的天数 - 密码过期后需要更改密码的天数 - 密码过期前的警告天数 - 密码过期后的宽限期天数 - 禁止修改密码的天数 - 保留字段 注意:这是一个示例文件,并不包含真实用户名和密码。请不要在公共场合共享真实的密码文件内容。 如果你有关于密码文件的更多问题,或者有其他问题需要咨询,请告诉我。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值