Urahara's Blog

NSFOCUS M01N RedTeam Member, Co-founder of FormSec, security researcher, bug hunter, Red Teamer, pentester. Opinions are my own.

CVE-2017-12635 Apache CouchDB 特权提升漏洞分析

20 Nov 2017 » Java, Code Audit, Database

背景介绍

建议大家在看本文之前先去回顾一下我之前发表过的一篇关于CouchDB的文章,其中简单介绍了一些关于CouchDB的基本信息和本次所发布的CouchDB RCE(CVE-2017-12636)漏洞。是的,关于这个RCE并不是CouchDB的一个新问题,只是在此次这个特权提升漏洞出来的同时才给了RCE漏洞CVE号,因为之前RCE只有在CouchDB管理员密码泄露或未授权访问时才能进行,本文将着重分析特权提升(CVE-2017-12635)漏洞。

影响版本

before 1.7.0 and 2.x before 2.1.1

漏洞分析

CouchDB是使用Erlang开发的面向文档的数据库系统,其Json解析器使用了jiffy第三方库,他和javascript在解析Json上存在一些差异,我们看下面这个例子

Erlang:

Erlang

Javascript:

Javascript

我们可以看到这两个解析器对于存在重复键的Json数据的解析结果有着很大的差异。对于给定的键,Javascript只存储了最后一个值,而Erlang却存储了所有的值。但是在CouchDB中get_value函数只返回了jiffy所解析到了第一个键的值。

get_value

对于这样的差异性就会产生很大的安全风险,接着看一下CouchDB中是如何进行用户身份鉴权的

users_roles

其中可以看到关于roles中定义了普通用户是无法设置管理员角色roles的,但管理员可以任意定义其他用户,我们再来看以下这段包含文件代码

admin

这里的权限判断很简单,只要roles长度大于0就返回forbidden,只有管理员才能进行修改,言外之意就是只要roles为空,就可以自己设置自己的信息,这和以上对users的权限定义一致,也和正常的member用户注册逻辑一致

signup

但是结合之前Erlang和Javascript对重复键Json解析的差异性,我们就可以构造roles重复键使得javascript解析阶段roles为空来绕过上述鉴权,并在导入document,Erlang进行解析时roles为_admin来创建管理员用户达到特权提升的目的,POC如下

POC

如此我们就完成了特权提升攻击而获得了一个管理员账号,此时就可以进行远程命令执行攻击了,关于这一部分大家可以看我之前的文章

漏洞防御

升级CouchDB至最新版

可以通过以下两条命令查看是否已经被攻击

curl -s 'admin:password@127.0.0.1:5984/_users/_all_docs?include_docs=true' | grep -E '"roles".+"roles"'
curl -s 'admin:password@127.0.0.1:5984/_users/_all_docs?include_docs=true' | grep -E '"_replication_state".+"_replication_state"'

参考

Apache CouchDB CVE-2017-12635 and CVE-2017-12636