kylin CVE-2022-24697 & CVE-2022-43396

已于 2023-11-13 14:25:38 修改
阅读量90 收藏
点赞数
分类专栏: 漏洞挖掘 漏洞复现 文章标签: kylin 大数据
于 2023-11-13 10:18:40 首次发布
原文链接:https://xz.aliyun.com/t/12185
版权
本文讲述了ApacheKylin中的两个漏洞CVE-2022-24697和CVE-2022-43396,其中CVE-2022-43396是CVE-2022-24697的绕过,允许用户通过参数可控或命令可控执行恶意命令。文章详细介绍了环境配置、攻击过程、调试方法和修复措施。
摘要由CSDN通过智能技术生成

目录

​编辑

前言

CVE-2022-24697

环境配置

攻击

调试

修复

参考

CVE-2022-43396

环境配置

攻击

调试

修复

参考

前言

在官方漏洞报告中,说CVE-2022-43396是CVE-2022-24697的绕过。实际情况却是:两个漏洞均是发送在 Kylin 的 cube build 功能中,但CVE-2022-24697是参数可控;CVE-2022-43396是命令可控。

CVE-2022-24697

漏洞报告:

配置重写时,为正确处理引号,导致逃逸,造成命令执行

影响版本:

  • Kylin 2.x & Kylin 3.x & 4.x should upgrade to 4.0.2

环境配置

IP:

本机指Docker运行的环境实例;宿主机指运行Docker的主机。

  • 本机IP: 172.17.0.2
  • 宿主机IP:192.168.2.48

版本:

直接采用官方 docker 镜像搭建环境,进行远程调试。

  • docker:apachekylin/apache-kylin-standalone:4.0.0

调试:

执行如下代码,修改 kylin.sh 的内容

sed -i 's/\${KYLIN_TOMCAT_OPTS} -classpath/\${KYLIN_TOMCAT_OPTS} -Xdebug -Xrunjdwp:transport=dt_socket,server=y,suspend=n,address=5005 -classpath/g' /home/admin/apache-kylin-4.0.0-bin-spark2/bin/kylin.sh
 sh /home/admin/apache-kylin-4.0.0-bin-spark2/bin/kylin.sh restart

启动:

执行如下命令即可启动 Kylin :

docker pull apachekylin/apache-kylin-standalone:4.0.0

 docker run -d -m 8G -p 7070:7070 -p 8088:8088 -p 50070:50070 -p 8032:8032 -p 8042:8042 -p 2181:2181 -p 5005:5005 apachekylin/apache-kylin-standalone:4.0.0

具体看官方的docker安装文档 Apache Kylin | 用 Docker 运行 Kylin

其中各端口功能如下:

攻击

  1. 登录 Kylin(账号:admin,密码:KYLIN)。选择自带的项目 learn_kylin

  2. 以此按箭头选择 ,查看 cube 列表

  3. 点击 Action -> Edit,编辑 cube

  4. 点击 Configuration Overwrites 中,新建一行的数据

    kylin.engine.spark-conf.spark.driver.memory
 512M' `touch /tmp/hacked` '


    点击 Next 并 Save。

  5. 点击 Build

    随便选个日期后点击 Submit

  6. 登录进 docker 容器查看,成功创建文件 /tmp/hacked

注意:

多次尝试反弹 shell,但是均失败了,不知道具体原因;可以考虑写 jsp 马。

调试

源码:

从官方库下载 Kylin4.0.0 版本

断点:

Idea 打开后,在org.apache.kylin.engine.spark.job.NSparkExecutable#doWork下断点:

调用栈:

execute:90, CliCommandExecutor (org.apache.kylin.common.util)
 runSparkSubmit:282, NSparkExecutable (org.apache.kylin.engine.spark.job)
 doWork:168, NSparkExecutable (org.apache.kylin.engine.spark.job)
 execute:206, AbstractExecutable (org.apache.kylin.job.execution)
 doWork:94, DefaultChainedExecutable (org.apache.kylin.job.execution)
 execute:206, AbstractExecutable (org.apache.kylin.job.execution)
 run:113, DefaultScheduler$JobRunner (org.apache.kylin.job.impl.threadpool)
 runWorker:1149, ThreadPoolExecutor (java.util.concurrent)
 run:624, ThreadPoolExecutor$Worker (java.util.concurrent)
 run:748, Thread (java.lang)

调试:

每次点击 build 后,稍做等待即可捕获到断点。

  1. org.apache.kylin.engine.spark.job.NSparkExecutable#doWork方法在调用 runSparkSubmit 方法这一步之前,都是获取各种 config 的各种配置属性(cube配置重写的属性、系统的配置属性等),并传递下去。

  2. 在 runSparkSubmit 方法内定位到关键方法 getSparkConfigOverride(Override意为重写,与开头的漏洞描述有关联)

    getSparkConfigOverride 调用父类的同名方法

    略读 super.getSparkConfigOverride 方法,发现若不存在键值为spark.driver.memory的元素,则为其指定值并加入 Map<String, String> sparkConfigOverride

    Map<String, String> sparkConfigOverride 是通过 config.getSparkConfigOverride() 方法获取的,其代码如下:

    public Map<String, String> getSparkConfigOverride() {
     return getPropertiesByPrefix("kylin.engine.spark-conf.");
 }

    getSparkConfigOverride()从全局配置属性中(包括cube配置重写的属性)返回键值开头为kylin.engine.spark-conf.的所有属性。

    所以我们在攻击过程中设置的键值刚好满足上述条件

    super.getSparkConfigOverridereturn时,我们可以看到在键值spark.driver.memory的值中成功植入了恶意命令

  3. 此后,一路 return,一直到执行命令处exec.execute(cmd, patternedLogger, jobId); 键值对kylin.engine.spark-conf.spark.driver.memory均未变化,我们可以看到此时变量 cmd 的值,已经被植入了恶意命令。

  4. 随后就是执行 Kylin 执行命令的一套方法,在 /tmp 目录下生成 hacked 文件

修复

补丁:

调用 ParameterFilter.checkSparkConf 方法检查所有配置属性键值对

参考

CVE-2022-43396

漏洞报告:

CVE-2022-24697 的绕过,用户可直接控制 kylin.engine.spark-cmd 执行命令

影响版本:

  • Kylin 2.x & Kylin 3.x & 4.x should upgrade to 4.0.3

环境配置

不再重复,和CVE-2022-24697一致

攻击

  1. 开始的步骤与 CVE-2022-24697一致,登录并编辑cube,但是新建的键值对不同;

    点击 Configuration Overwrites 中,新建一行的数据

    kylin.engine.spark-cmd
touch /tmp/hacked123; echo

    点击 Next 并 Save。

  2. 点击 Build

    随便选个日期后点击 Submit

  3. 登录进 docker 容器查看,成功创建文件 /tmp/hacked123

调试

源码:

从官方库下载 Kylin4.0.0 版本

断点:

Idea 打开后,在org.apache.kylin.engine.spark.job.NSparkExecutable#doWork下断点:

调用栈:

execute:90, CliCommandExecutor (org.apache.kylin.common.util)
runSparkSubmit:282, NSparkExecutable (org.apache.kylin.engine.spark.job)
doWork:168, NSparkExecutable (org.apache.kylin.engine.spark.job)
execute:206, AbstractExecutable (org.apache.kylin.job.execution)
doWork:94, DefaultChainedExecutable (org.apache.kylin.job.execution)
execute:206, AbstractExecutable (org.apache.kylin.job.execution)
run:113, DefaultScheduler$JobRunner (org.apache.kylin.job.impl.threadpool)
runWorker:1149, ThreadPoolExecutor (java.util.concurrent)
run:624, ThreadPoolExecutor$Worker (java.util.concurrent)
run:748, Thread (java.lang)

调试:

点击 build,等待后即可捕获断点

CVE-2022-43396是CVE-2022-24697的绕过。从漏洞报告中我们知道漏洞成因是kylin.engine.spark-cmd参数可控。调试过CVE-2022-24697,我们知道该参数的使用出现在NSparkExecutable#generateSparkCmd方法中。

判断 getSparkSubmitCmd 方法获取kylin.engine.spark-cmd参数是否成功,成功则返回,不成功则指定默认值。

public String getSparkSubmitCmd() {
    return getOptional("kylin.engine.spark-cmd", null);
}

该参数可由 cube: configuration Overrides进行设置。

getSparkSubmitCmd 获取到我们设置的恶意字符串后,被拼接如下

随意传入被执行,造成任意命令执行。

修复

补丁:

直接指定 sparkSubmitCmd 参数为默认值。

参考

图片

                                                           没看够~?欢迎关注!

 副本-+V【zkaq222】或者下面的扫码不然通不过哦,免费领取安全学习资料包!(私聊进群一起学习,共同进步)

运维Z叔
关注
专栏目录
Apache Kylin 远程命令执行漏洞复现[CVE-2020-13925]
0xSec
12-25 978
Apache Kylin™是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc. 开发并贡献至开源社区。它能在亚秒内查询巨大的Hive表。
Apache Kylin 命令注入漏洞复现(CVE-2020-1956)
0xSec
12-30 927
Apache Kylin 中的静态 API 存在安全漏洞,可以将os命令与用户输入字符串连接起来,攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令。
大数据中的组件报错及解决方法集锦——spark
腼腆纯朴、程序猿 的专栏
01-26 3814
1、spark版本不对 "Failed to execute spark task, with exception 'org.apache.hadoop.hive.ql.metadata.HiveException(Failed to create spark client.)' FAILED: Execution Error, return code 1 from org.apache.had
CVE-2022-24990信息泄露 RCE漏洞
PolarPeak的博客
06-05 2277
Terramaster TOS是中国铁威马(Terramaster)公司的一款基于Linux平台的,专用于erraMaster云存储NAS服务器的操作系统。 Terramaster TOS 4.2.29版本存在命令注入漏洞,该漏洞源于api.php脚本中的webNasIPS 组件中的输入验证不正确。未经身份验证的攻击者可以发送特殊数据利用该漏洞并在目标系统上执行任意命令。 TerraMaster TOS mobile.class.php文件的createRaid方法存在远程命令执行漏洞 ,攻击者配合 CVE
kylin CVE-2021-45456 & CVE-2022-44621
2301_80127209的博客
11-13 156
CVE-2021-45456 是由于系统直接将用户请求中的project传入并执行,导致命令执行。CVE-2022-44621 是由于系统未过滤 jobId 参数,导致可能存在命令执行(说实话,jobID应该是不可控的)。
CVE-2022-0847 Linux内核提权漏洞
weixin_51339377的博客
04-09 977
发现新管道缓冲区结构的“标志”成员在 Linux 内核中的 copy_page_to_iter_pipe 和 push_pipe 函数中缺乏正确初始化的方式存在缺陷,因此可能包含陈旧值。非特权本地用户可以使用此漏洞写入由只读文件支持的页面缓存中的页面,从而提升他们在系统上的权限。 它是自 5.8 以来 Linux 内核中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致权限提升,因为非特权进程可以将代码注入根进程。 它类似于CVE-2016-5195 “Dirty Cow(脏牛)”,但更容易被利用。
CVE-2022-0847漏洞攻击案例(虚拟机测试)
weixin_50281314的博客
08-30 410
CVE-2022-0847漏洞攻击案例(虚拟机测试)
麒麟桌面系统CVE-2024-1086漏洞修复
鹏大圣运维
06-29 1677
Hello,大家好啊!今天给大家带来一篇在麒麟桌面操作系统上修复CVE-2024-1086漏洞的文章。漏洞CVE-2024-1086是一个新的安全漏洞,如果不及时修复,可能会对系统造成安全威胁。本文将详细介绍如何在麒麟桌面操作系统上识别和修复这个漏洞。欢迎大家分享转发,点个关注和在看吧!
Cve-2020-1956\Cve-2020-13925复现
mukami0621的博客
10-21 2049
参考:https://paper.seebug.org/1237/ http://www.ijiandao.com/2b/baijia/373874.html 这两个都是Kylin下的漏洞,放在一起复现了 环境:Kylin 官网文档 http://kylin.apache.org/cn/docs/install/kylin_docker.html 0x1 docker里下环境 0x2 运行docker docker run -d \ -m 8G \ -p 7070:7070 \ -p 8088:8088
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包3
03-15
0847)漏洞补丁及相关依赖包3麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包3麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包3麒麟Linux kernel本地权限提升漏洞(CVE-...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
在2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行未授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
银河麒麟高级服务器操作系统V10 使能NFS支持tcp-wrappers解决“CVE-1999-0554”问题
10-28
在这个特定的情境中,我们关注的是如何通过使能NFS(Network File System)支持tcp-wrappers来解决一个名为"CVE-1999-0554"的安全漏洞。 NFS是一种广泛使用的网络文件共享协议,允许不同的操作系统之间共享文件和...
openssh9.8p1安装升级rpm包,修复CVE-2024-6387漏洞
07-13
安装版本:OpenSSH_9.8p1, OpenSSL 1.1.1w 11 Sep 2023 升级步骤 1、上传文件到opt目录; 2、yum remove openssh 3、yum localinstall openssh-* 4,检查版本 ssh -V 注意,由于需要卸载oepnssh,需要保持连接状态...
kylin系统永久关闭iptables
yuer011的博客
08-13 530
1 关闭iptables, 并且相关规则写入文件firewall.rules。3 由于kylin是用test登录的,所以修改rc.local的权限等。2 开启执行恢复防火墙规则的脚本(关闭防火墙)4 重启,查看ssh能否连上主机。
RabbitTemplate与AmqpTemplate:Spring AMQP中的消息传递模板
最新发布
qq_51321722的博客
10-05 489
是Spring AMQP框架的核心接口,它定义了一套标准的AMQP操作,如发送和接收消息、声明队列和交换机等。这个接口是对AMQP协议的抽象,提供了一种面向对象的方式来操作AMQP协议。它基于RabbitMQ的Java客户端库实现,使得开发者可以通过Spring框架的依赖注入和配置机制来简化与AMQP消息队列系统的交互。而则是Spring AMQP为RabbitMQ提供的一个高级消息操作模板。它实现了接口,并添加了一些针对RabbitMQ的特性和优化。不仅提供了与。
netty之SpringBoot+Netty+Elasticsearch收集日志信息数据存储
CSDN_LiMingfly的博客
10-04 578
将大量的业务以及用户行为数据存储起来用于分析处理,但是由于数据量较大且需要具备可分析功能所以将数据存储到文件系统更为合理。尤其是一些互联网高并发级应用,往往数据库都采用分库分表设计,那么将这些分散的数据通过binlog汇总到一个统一的文件系统就显得非常有必要。#开发环境环境准备windows安装包 下载注意 es是以来java环境 所以需要安装jdk 支持1.7以上es-hander下载可视化操作插件@Id//姓名//年龄//级别//时间//电话//邮箱//地址。
项目管理-信息技术发展
GAVIN
10-04 394
对称加密:DES 3DES AES RC5 IEDA SM1 SM4。2)分类:PAN LAN MAN WAN 公用网 专用网。4)数据结构模型 层次模型 网状模型 关系模型。1)存储 分类:DAS FAS NAS SAN。物联网(IoT) 感知层 网络层 应用层。8) 5G 高速率 低时延 大连接。设备安全 数据安全 内容安全 行为安全。4.信息安全 保密性 完整性 可用性。3)网络协议 语法 语义 时许。5)IEEE 802 规范。6)TCP/IP 协议。4)网络标准协议 7层。
kylin libxkbcommon-x11.so.0下载
11-02
kylin libxkbcommon-x11.so.0 是一个库文件,用于支持系统中的键盘映射功能。如果您需要下载这个库文件,可以按照以下步骤进行操作: 1. 打开您的终端或命令行界面。 2. 确保您的系统已经连接到互联网。 3. 输入以下命令以安装 kylin libxkbcommon-x11.so.0:sudo apt-get install kylin libxkbcommon-x11.so.0 4. 按下回车键确认命令,并输入您的管理员密码进行验证。 5. 如果系统需要更新或确认,请根据提示进行操作。 6. 完成安装后,系统会将 kylin libxkbcommon-x11.so.0 文件下载到相关的系统目录中。 请注意,下载过程可能需要一些时间,具体时间取决于您的网络环境和系统的速度。安装完成后,您可以在系统中使用 kylin libxkbcommon-x11.so.0 来支持键盘映射功能。如果您在下载或安装过程中遇到问题,可以查阅相关的文档或寻求技术支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值