ElasticSearch Groovy远道代码执行POC和exp
ElasticSearch Groovy远程代码执行POC和exp
ElasticSearch的这个漏洞的编号是CVE-2015-1427,影响版本为1.3.0-1.3.7以及1.4.0-1.4.2,漏洞成因详见:http://drops.wooyun.org/papers/5107,本文具体探讨一下漏洞利用。
1.2.0版本默认是禁用了脚本执行,如果要使用该功能的话,要在elasticsearch.yml中设置script.disable_dynamic:true。
在1.3.0版本,开始使用groovy和sandbox来进行脚本执行,其中使用了白名单机制,限制了可以调用的类和方法等等。
但是因为Java中的反射机制,我们可以通过白名单中的类获取到Runtime,也就造成了远程代码执行漏洞,威力很大。
废话不多说,使用es的python客户端进行测试:
这里要注意,需要指定一下脚本的类型为groovy。这是因为1.3版本中,MVEL仍然是默认的语言,效果如下:
既然是远程代码执行,那攻击面实在是太广阔了,这酸爽。
(1)拒绝服务攻击
调用exit即可。
(2)getshell
测试结果,成功返回一个反弹shell:
如果Linux下,很多服务器都是以root权限运行,提权都省了~~
(3)任意文件读取
获取到输入流之后readLine就能获得回显。
(4)任意文件写入(写shell)
只写了使用java代码实现的,并且本地测试成功,不过简单的一段java代码,使用反射居然能这么长:
java.lang.Math.class.forName(\"java.io.FileOutputStream\").getConstructor(java.io.File.class).newInstance(java.lang.Math.class.forName(\"java.io.File\").getConstructor(java.lang.String.class).newInstance(\"c:/1.txt\")).write(java.lang.Math.class.forName(\"java.lang.String\").getConstructor(java.lang.String.class).newInstance(\"fuck\").getBytes())还可以使用命令执行echo出shell来,思路多多。
这里不再写出exp程序,因为比较简单,不适用es的python api,也可以自己构造一个请求给es服务器。一个query对应一项攻击方法。
批量利用的话,扫IP段的9200然后上攻击代码就行了,希望大家玩的愉快。
- 2楼c0c0cf前天 22:09
- 分析速度很速度啊,牛x
- Re: u011721501昨天 14:52
- 回复c0c0cfn以前用过es,嘿嘿
- 1楼dapenghehe前天 20:46
- 赞