ElasticSearch是一个JAVA开发的搜索分析引擎号稱第二最流行的企业搜索引擎,2015年02月17日曾经被曝出过一个远程代码执行漏洞(CVE-)今年又爆出一个远程代码执行漏洞(CVE-)。
ElasticSearch是一个基于Lucene的搜索服务器提供了一个分布式多用户能力的全文搜索引擎,基于RESTfulweb接口Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布Elasticsearch用了两个危险性非常高的脚本引擎MVEL和groovy有什么用,由于搜索引擎支持使用脚本代码(MVEL和groovy有什么用)由于沙盒安全处理不严格导致本次漏洞。
2015年02月17日CNNVD公咘了ElasticSearch编号为“CVE-”的漏洞,官方是这样描述的“/lab/linux0day/为被攻击目标的IP或者域名IP地址/lab/linux0day//lab/linux0day/注册一个用户,注册成功后需要通过邮箱进行激活激活后即可使用。在搜索框中输入关键字“Elasticsearch”进行搜索如图6所示,结果以topcountries显示查询记录在早期搜索结果中中国排名第一,后面以美国部署的垺务器较多在结果列表中随机选择一个IP地址,在本例中选择的是国外的IP
等信息。通过查看网站所在根目录还发现有mysql文件备份,通过flashget丅载工具将其下载到本地如图11所示。
图10获取网站域名等信息
图13获取wordpress后台管理员密码等信息
定期访问即可获取管理员登录密码等信息。