奇安信攻防社区-CouchDB Erlang 分布式协议代码执行 (CVE-2022-24706)

CouchDB Erlang 分布式协议代码执行 (CVE-2022-24706)

# CouchDB Erlang 分布式协议代码执行 (CVE-2022-24706) Apache CouchDB是一个Erlang开发的NoSQL数据库。由于Erlang的特性，其支持分布式计算，分布式节点之间通过Erlang/OTP Distributi...

CouchDB Erlang 分布式协议代码执行 (CVE-2022-24706)
=========================================

Apache CouchDB是一个Erlang开发的NoSQL数据库。

由于Erlang的特性，其支持分布式计算，分布式节点之间通过Erlang/OTP Distribution协议进行通信。攻击者如果知道通信时使用的Cookie，即可在握手包通过认证并执行任意命令。

在CouchDB 3.2.1及以前版本中，使用了默认Cookie，值为“monster”。

参考链接：

- <https://docs.couchdb.org/en/3.2.2-docs/cve/2022-24706.html>
- <https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/>
- [https://github.com/rapid7/metasploit-framework/blob/master//modules/exploits/multi/misc/erlang\_cookie\_rce.rb](https://github.com/rapid7/metasploit-framework/blob/master//modules/exploits/multi/misc/erlang_cookie_rce.rb)
- <https://github.com/sadshade/CVE-2022-24706-CouchDB-Exploit>

漏洞环境
----

执行如下命令启动一个Apache CouchDB 3.2.1服务：

```php
docker compose up -d
```

服务启动后，会监听三个端口：

- 5984: Apache CouchDB Web管理接口
- 4369: Erlang端口映射服务（epmd）
- 9100: 集群节点通信和运行时自省服务（代码执行实际发生在这个端口中）

其中，Web管理接口和epmd服务端口是固定的，而集群通信接口在Vulhub中是9100。实际环境下，这个端口通常是随机的，我们可以通过epmd服务来获取这个端口的数值。

Exploit
-------

我们可以使用[这个POC](poc.py)来利用本漏洞。这个POC会先通过目标的4369端口epmd服务获取集群通信的端口，也就是9100，然后再使用默认Cookie来控制节点执行任意命令。

```php
python poc.py target-ip 4369
```

![](https://shs3.b.qianxin.com/butian_public/f235014421db7771b42e52f1cc543df1e4171b9accf9e.jpg)

发表于 2024-07-12 18:50:42
阅读 ( 708 )
分类：Web服务器

CouchDB Erlang 分布式协议代码执行 (CVE-2022-24706)

0 条评论