Couchdb权限绕过和任意命令执行植入挖矿程序入侵分析

本文为安恒内部供稿

砸个广告:各位在网络安全方面有新创作的小伙伴,快将你们的心得砸过来吧~

文章以word形式发至邮箱:

minwei.wang@dbappsecurity.com.cn

有偿投稿,记得留下你的姓名联系方式哦~

事件概述

我们捕获了利用Couchdb权限绕过漏洞的攻击行为,攻击者通过创建管理员帐户,之后利用Couchdb任意命令执行漏洞执行下载恶意脚本,植入挖矿恶意程序。

CVE--2017-12635 和 CVE-2017-12636

下面简单介绍一下利用的两个漏洞。

Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。

CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员,属于垂直权限绕过漏洞。

CVE-2017-12636是一个任意命令执行漏洞,我们可以通过config api修改couchdb的配置query_server,这个配置项在设计、执行view的时候将被运行。

事件分析

1.创建管理员

因为任意命令执行漏洞需要登录用户方可触发,所以先利用CVE-2017-12635先增加一个管理员用户,主要操作如下:

发送包含两个roles的数据包,即可绕过限制,成功创建管理员,账户密码均为:wooyun1.访问http://**.213.63.***:5984/_utils/,可以看到已经存在用户名为wooyun1账号:

2.执行任意命令

利用任意命令执行漏洞执行的主要操作如下:

可以看到利用漏洞执行wget和curl命令从http://***.99.142.232:8220/下载了两个bash脚本,5.sh和2.sh.

功能都是再执行wget或者curl命令下载并执行一个.jpg文件, 查看logo3.jpg和logo4.jpg实质上都是bash脚本,主要内容如下:

主要功能是从http://***.99.142.232:8220下载一个配置文件1.json 并重命名,下载了rig、rig1、rig2三个样本并重命名,赋予了可执行权限,然后获取了受害主机的cpu核数,把配置文件内容和cpu核数作为参数执行suppoie这个程序

config.json 内容如下:

根据配置文件内容判断这是一个门罗币的挖矿样本,使用的是XMRig开源程序,查了一下这个钱包地址帐户因僵尸网络活动报告而被暂停。

脚本中出现的三个样本hash分别为:

4f0bbc485050485cf7799c0547ac2678dbe16b41e4d124e5fc2ffbeb62a46f6d

53505d1bdecdd2fb71d634dd1f7935ed8b099b87369c416bca7afa36cb3c7335

e2a28a51dae1627a4eb76d25dafd6140c52a88885e3cca66309e70cf7fa65cdd

在virustotal上查询了这三个样本,第一次上传是在3月25号,在12小时前还被重新上传分析,判断这个样本近期非常活跃:

-END-

原文发布于微信公众号 - 安恒网络空间安全讲武堂(cyberslab)

原文发表时间:2018-06-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏喵了个咪的博客空间

PhalGo-介绍

PhalGo-介绍 phalgo是一个Go语言的一体化开发框架,主要用于API开发应为使用ECHO框架作为http服务web程序一样可以使用,牛顿曾经说过"如果...

2926
来自专栏Rainbond开源「容器云平台」

好雨云帮问答集锦( 2017.04.03-2017.04.16)

1156
来自专栏不二小段

配置远程访问Jupyter+腾讯云超划算活动上车

一年前写了一篇关于Anaconda的介绍,在里面大力推荐大家使用Jupyter写一些日常的代码。 https://zhuanlan.zhihu.com/p/25...

36611
来自专栏数据和云

关于Oracle Sharding,你想知道的都在这里

编辑手记:随着Oracle12.2的发布,Sharding技术也逐渐变得越来越强大,关于Sharding,你所关心的问题的答案,可能都在这里。 注:本文来自Or...

3838
来自专栏hotqin888的专栏

HydroCMS功能介绍——非用户手册

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/hotqin888/article/det...

893
来自专栏数据和云

Oracle 12.2新特性掌上手册 - 第三卷 Sharding 的增强

编辑手记:Sharding技术我们谈了好久,想必大家并不陌生,该功能12.2最新版本中,也将变得越来越完善,今天我们一起来学习。 注:文章内容来自官方文档翻译。...

2183
来自专栏Vamei实验室

安卓第一夜 第一个应用

承接“Java快速教程”,我将开始写安卓相关的文章。 安卓(Android)开发主要使用Java语言。Java语言基础,是安卓开发的第一道门槛。再者,一个好的安...

1679
来自专栏数据订阅

通过云数据库审计解决安全和性能分析问题

企业使用数据库,可能面临如下安全风险,该类风险需要完整的事后审计和追溯机制,数据库审计能力就由此诞生。

1724
来自专栏企鹅号快讯

WebGenerate 产品介绍

北京劳恩斯科技有限公司 网址: WebGenerate降本增效的代码生产工具,经过WebGenerate生产的代码适用于Spring、MyBatis、Maven...

1677
来自专栏魏艾斯博客www.vpsss.net

域名和空间是什么关系

2185

扫码关注云+社区