歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

CVE-2019-7609 Kibana遠程代碼執行漏洞攻擊方法和漏洞原理分析

來源:本站整理 作者:佚名 時間:2019-11-07 TAG: 我要投稿

0×00 前言
本漏洞的exp放出來快一星期了,目前網上的分析文章也出了幾篇,但是大都集中于通過容器簡單復現攻擊過程,沒有深入的分析產生原因和exp的構造原理。筆者借鑒了大牛Michał Bentkowski,也就是漏洞發現者的博客上的英文ppt(參考鏈接3),寫了這篇文章。本文詳細介紹了在本地搭建了模擬攻擊環境的過程(非docker搭建),并完整分析了這個漏洞的攻擊原理。現在分享給大家。
0×01 漏洞簡介
Kibana存在遠程代碼執行漏洞,影響版本為5.6.15和6.6.0之前的所有版本。擁有Kibana的Timelion模塊訪問權限的人可以以Kibana的運行權限執行任意代碼,包括反彈shell。
0×02 環境搭建
靶機環境:
Parrot Security OS 4.7 64位 或其他類Linux操作系統(VMWare 14)
Elasticsearch6.5.4
Kibana 6.5.4
IP:10.10.10.128
攻擊機環境:
Windows 10 Home 64位
Netcat 1.12 64位
Chrome瀏覽器
IP:172.16.2.62
0×03 漏洞利用
1)在靶機上部署Kibana 和Elasticsearch,并開放訪問端口(./config/kibana.xml中的server.host改成0.0.0.0)讓攻擊機可以訪問(如圖1所示)。

圖1 在靶機上部署Elasticsearch和Kibana
2)確認執行權限并啟動Elasticsearch和Kibana(如圖2,3所示)

圖2 在靶機上確認Kibana執行權限 


圖3 執行 Elasticsearch和Kibana
 在攻擊機上啟動netcat(圖4),并通過Chrome瀏覽器訪問Kibana的Timelion頁面,并輸入payload(圖5)。

圖4 在攻擊機上啟動netcat

圖5 登錄Timelion并在輸入框中輸入payload
payload如圖6所示(為了避免各類糾紛,本文的攻擊代碼只放圖片版,文字版可以去參考鏈接里面自取)

(注意替換payload中的反彈IP為攻擊機IP)
點擊右邊的執行按鈕執行,然后點擊控制面板左邊的Canvas,可以獲取反彈shell

圖6 獲得反彈shell
多次操作之后可能會出現反彈不成功的現象,此時可以刪除kibana目錄并重新部署一次,記得修改kibana.xml!
0×04 漏洞機理
“原型污染”是一種針對JS語言開發的攻擊方法。JS語言中,每一個對象都是有其原型(__proto__)的,而該原型又有其自己的原型對象,直到某個對象的原型為null。而如果JS對其中定義的對象原型的屬性讀寫缺乏控制,容易讓攻擊者操縱一些敏感特征,從而實現攻擊者的目的。
本漏洞就是是一個由于JS語言的“原型污染”,導致靶機環境量被污染,最終獲得shell執行的漏洞。具體調試過程如下
1、POC驗證
1) 在Timelion的輸入框中輸入本漏洞的POC:             

2) 點擊canvas,可以發現cookie被污染,頁面無法訪問。

3)通過node調試工具(具體使用方法見參考鏈接)連接后臺,刪除Object.prototype的cookie值,刷新發現頁面暫時恢復正常。因此可以判定該處存在JS原型污染漏洞

2、漏洞產生原理和攻擊思路
1)點擊canvas頁面,可以發現后臺大量報錯,報錯原因是9229端口被占用。因此可以判斷:在點擊canvas頁面的過程中,kibana創建了新的node進程。(注意此時要連接chrome的node調試工具才會看到報錯)因此可以考慮通過劫持環境變量來實現shell命令注入。   

2) 在創建新的node進程過程中,必然使用了NODE_OPTIONS環境變量,如果我們可以劫持該變量,那么就能影響node的新進程創建。NODE_OPTIONS不限制–require選項,該選項可以在執行js文件之前首先加載其他js模塊。而在本案例中,實現上傳惡意模塊的思路難以實現。因此考慮進一步污染環境變量的方法來間接達到這一目的。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.fhetww.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        江西十一选五走势图爱彩乐