拼接符 防注入正则校验_Apache Kylin 命令注入漏洞调试分析(CVE-2020-1956)

最新推荐文章于 2023-11-18 20:28:56 发布
最新推荐文章于 2023-11-18 20:28:56 发布
阅读量205 收藏
点赞数
文章标签: 拼接符 防注入正则校验

1、前言

Apache Kylin是一个开源的、分布式的分析型数据仓库,提供Hadoop/Spark 之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据。近日,百度云安全团队监测到Apache官方发出了一个漏洞通告,披露了Apache kylin多版本存在命令注入漏洞,漏洞编号为CVE-2020-1956。由于Apache Kylin依赖的组件较多,自行搭建环境较为困难,我们采用了IDEA+docker进行远程调试来分析漏洞。

2、远程调试环境搭建

本次复现使用了受影响的Kylin 3.0.1版本,直接镜像拉取并启动,对外暴露17070、19001端口。

docker pull apachekylin/apache-kylin-standalone:3.0.1

docker run -d -p 17070:7070 19001:19001 apachekylin/apache-kylin-standalone:3.0.1

远程调试需要保证运行环境代码和本地代码相同,这里我们可以去Kylin的releases页面下载3.0.1版本,解压后导入IDEA。此时docker启动的Kylin并没有开启远程调试,先进入容器bash,修改/home/admin/apache-kylin-3.0.1-bin-hbase1x/bin/kylin.sh,在启动命令添加一行。

9077fa359f8b93f65de0c3a9f2a83b06.png

此时Kylin是启动状态,先执行./kylin.sh stop以停止服务,再执行启动脚本/home/admin/entrypoint.sh,可连接到服务器的19001端口进行远程调试。编辑Configurations,选择Remote并填写对应的主机和端口。

ca75315729adcf5ee4325ef50b527d95.png

当Console端出现如下提示,表明远程连接成功。

96104d143760aea4d1687e1f15058941.png

3、漏洞分析

漏洞入口在server-base/src/main/java/org/apache/kylin/rest/controller/CubeController.java的migrateCube方法,我们构造好对应的POST包,对该方法打断点。此时传递的project为learn_kylin,随后进入migrateCute方法。

b03de0a62da23fda63ce5616822910e4.png

跟进到CubeService.java的migrateCute方法,1086行会获取kylin的配置,1087行调用config对象的isAllowAutoMigrateCube进行判断,若返回False则程序会抛出异常。

b231acc8793ba2ed4f0b49c401b965f7.png

我们跟进到KylinConfigBase.java的isAllowAutoMigrateCube方法,该方法主要是判断属性kylin.tool.auto-migrate-cube.enabled的值是否为true,若要继续执行则需要设置该属性为true。

6b72deac51cc07807b940ed5ae19c593.png

接着在1098、1099行会从config对象中获取srcCfgUri、dstCfgUri,对象的属性分别为

kylin.tool.auto-migrate-cube.src-config、kylin.tool.auto-migrate-cube.dest-config,并且1101、1102行还会判断取出的两个属性的值是否为空。

7ae949f4ebc239e1e9c8467646383c60.png

接着1108行会将projectName、srcCfgUri、dstCfgUri等参数直接拼接到cmd中,并在1111行执行,在整个过程中没有对projectName进行任何的校验,导致命令注入漏洞。并且,若能够控制上述3个属性值,那么srcCfgUri以及dstCfgUri也是能够导致命令注入漏洞的。

05b1357885a0795c557556fbad404025.png

我们看下官方的补丁https://github.com/apache/kylin/commit/9cc3793ab2f2f 0053c467a9 b3f38cb7791cd436a。对projectName、dstCfgUri、srcCfgUri都调用了checkParameter方法进行处理。

b1d7c8896d2a72190142558296001515.png

而checkParameter方法主要是将可疑的命令执行字符替换为空,包括空格、管道符、&等。

259c9bc3d05e8aace017ab159c2fe153.png

4、漏洞复现

根据网上文档可知,Cube级属性值是可以添加或者修改的,并且可以覆盖kylin的属性。那么我们首先在某个Cube中添加上述属性。

c6745b3e492de1401a24bb1a8767936a.png

这里我们先尝试ProjectName参数的命令注入,发现可以成功执行touch命令。

eda02ed5a4552ba5bdfbb3144348bb44.png
32f1ca7bb085736b98c7669032b17d8c.png

由于命令注入点在路径中,注入命令中包含”/”会导致路由出错,而反弹shell、写webshell等都需要用”/”,因此有一些文章将此处认定为受限的命令注入。但是这里我们可以用其他字符来替代斜杠,联系上篇文章提到的shell参数扩展,斜杠可以用${PATH:0:1}表示。

e61a4960fdb8f7559fd213d23ea01078.png

同样的,由于可以直接修改配置文件,也可以利用srcCfgUri或者dstCfgUri注入,此时就不受路径处的一些限制了。

a85f6d09e7fafc56c3003af8b30d3802.png

5、安全产品解决方案

百度安全智能一体化产品已支持CVE-2020-1956漏洞的检测和拦截,有需要的用户可以访问anquan.baidu.com联系我们。

受影响的用户请点击阅读原文下载官方发布的最新版进行漏洞的修复

http://kylin.apache.org/cn/download/

参考链接:

https://www.t00ls.net/thread-56549-1-1.html

https://github.com/apache/kylin/commit/9cc3793ab2f2f0053c467a9b3f38cb7791cd436a

8319d8d759431a06605dc4c41ae2a91b.png
weixin_39633917
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Kylin 远程命令执行漏洞复现[CVE-2020-13925]
0xSec
12-25 843
Apache Kylin™是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc. 开发并贡献至开源社区。它能在亚秒内查询巨大的Hive表。
hadoop应用开发技术..._渗透技巧Hadoop命令执行
weixin_39895486的博客
11-29 258
0X00Hadoop介绍和漏洞原理Hadoop是一个由Apache的分布式系统基础架构,用户可开发分布式程序,充分利用集群的威力进行高速运算和存储,实现了一个分布式文件系统(Hadoop Distributed File System)。其HDFS组件有高容错性的特点,并且部署在低廉的(low-cost)硬件上即可提供高吞吐量(high throughput)来访问应用程序的数...
04_SHELL编程之CASE语句+函数+正则
qq_57747969的博客
11-18 620
函数名()函数体(一堆命令的集合,来实现某个功能)​function 函数名()函数体(一堆命令的集合,来实现某个功能)​​commandcommand​​commandcommand​​函数return说明:1.return可以结束一个函数,类似于前面讲的循环控制语句break(结束当前循环,执行循环体后面的代码)2.return默认返回函数最后一个命令的退出状态,也可以给定参数值,该参数值的范围是0-256之间。
网络安全课第八节 命令与代码注入
fegus的博客
07-11 1048
上一讲介绍了文件上传漏洞的攻原理,利用可能直接控制服务器,危害严重。本节课再给大家介绍一种叫命令注入的严重漏洞,由于它也能直接控制服务器,因此常令企业安全人员半夜应急。为何是半夜呢?因为搞站的人经常是晚上下班后开搞,也专业挑安全人员下班的时间,减少被发现和阻断的情况。命令注入,主要指应用在服务器或客户端上,允许拼接系统命令并执行而造成的漏洞。对于 web 网站,通常是针对服务器的攻击利用。PHP 常见的系统命令执行函数有:system()exec()shell_ exec()proc_open()pop
Apache两个解析漏洞复现及御方法
阿道夫的博客
01-28 3268
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
ubuntu上安装Apache2+ModSecurity及实现SQL注入演示
www1234的博客
09-11 3561
ubuntu上安装Apache2+ModSecurity及实现SQL注入演示 一、Apache2 的安装 1.1、安装环境: OS:Ubuntu 16.04.1 LTS Apache: Apache/2.4.18 (Ubuntu)安装命令: 更新安装源: sudo apt-get install update sudo apt-get install apache21.2、Apac
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
apache-kylin-4.0.1-bin-spark2-3.0.0-cdh6.2.0.tar.gz
02-25
针对cdh6.2.0编译的apache-kylin-4.0.1版本: scala:2.11.12 spark:2.4.7 hadoop:3.0.0 hive:2.1.1 cdh:3.0.0-cdh6.2.0
sunloginclient-10.0.2.24779_kylin_arm64(1)
06-01
sunloginclient-10.0.2.24779_kylin_arm64(1)
apache kylin4.0.1 源码编译所需jar包
02-25
apache-kylin-4.0.1 源码所需jar包,一键打包。 只包含jar,不包括js相关内容 内部列表: kylin-shaded-guava-3.1.0.jar commons-configuration-1.6.jar RoaringBitmap-0.7.36-os-kylin-r1.jar commons-compiler-...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
一键备份升级Openssh9.5p1 解决CVE-2023-38408,具体步骤见
php.ini安全配置详细解释
cnbird's blog
12-31 1421
PHP本身再老版本有一些问题,比如在 php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQL   Injection也是在PHP上有很多利用方式,所以要保证  安全,PHP代码编写是一方面,PHP的配置更是非常关键。  我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要
什么是命令注入命令注入如何避免?
热门推荐
llzhang_fly的博客
08-13 1万+
1、什么是命令注入 Command Injection,即命令注入攻击,是指由于嵌入式应用程序或者 web应用程序对用户提交的数据过滤不严格,导致黑客可以通过构造特殊命令串的方式,将数据提交至应用程序,并利用该方式执行外部程序或系统命令实施攻击,非法获取数据或者网络资源等。 在命令注入漏洞,最为常见的是PHP的命令注入。PHP命令注入攻击存在的主要原因是Web应用程序员在应用PHP语言一些具有命令执行功能的函数时,对用户提交的数据内容没有进行严格的过滤就带入函...
Apache Kylin远程代码执行漏洞CVE-2020-1956)复现
锋刃科技的博客
03-05 1287
简介 Apache Kylin是美国 Apache软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供 Hadoop/Spark之上的 SQL查询接口及多维分析(OLAP)等功能。 漏洞概述 在Kylin存在一些restful API,可以将操作系统命令与用户输入的字串连接起来,由于未对用户输入内容做合理校验,导致攻击者可以在未经验证的情况下执行任意系统命令。 影响版本 Kylin 2.3.0-2.3.2 Kylin 2.4.0-2.4.1 Kyl...
c++获取一段代码的执行时间_Apache Kylin 远程代码执行漏洞CVE20201956
weixin_39885412的博客
11-21 107
2020年5月28日,Apache Kylin官方发布安全公告,披露了一个Apache Kylin远程代码执行漏洞Kylin有一些restful API,可以将os命令与用户输入字串连接起来,攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令漏洞名称:Apache Kylin 远程代码执行漏洞CVE-2020-1956威胁等级:高危漏洞类型:远程代码执行利用难度:简单...
CVE-2020-1956 Apache kylin命令执行漏洞分析
afeng12345678的博客
07-31 326
Apache Kylin命令执行漏洞白盒复现分析分析文章为本人原创,转载请注明出处。
Apache Hadoop YARN 远程代码执行漏洞
OSCS开源安全社区
08-26 950
Apache Hadoop YARN CapacityScheduler 的 ZKConfigurationStore 由于没有验证从 ZooKeeper 获得的数据就进行反序列化处理,使得有权访问 ZooKeeper 的攻击者通过特制数据以 YARN 用户身份运行任意命令。建议升级org.apache.hadoop:hadoop-yarn-server-resourcemanager到 2.10.2 或 3.2.4 或 3.3.4 或更高版本...
Apache HBase安全
悦分享
10-06 1742
当使用org.apache.hadoop.hbase.security.visibility.VisibilityClient类提供的addLabels(conf, labels)方法创建标签并通过扫描或获取在授权传递标签时,标签可以包含UTF-8字,以及可见标签通常使用的逻辑运算以及常规Java号,而不需要任何转义方法。如果没有提供足够的文件系统保护(授权和身份验证),HBase级别授权控制(ACL,可见性标签等)就没有意义,因为用户可以随时访问文件系统的数据。标签存储在HFiles自身
Hadoop&hbase监控页面未授权访问漏洞处理方案验证过程实现
weixin_42621434的博客
10-29 9028
Hadoop&hbase监控页面未授权访问漏洞处理方案验证 Hadoop:监控页面授权登录配置步骤: 1 页面弹出框授权 1.1页面弹出框授权配置 1.上传附件的jar包hadoop-http-auth-e3base.jar到$HADOOP_HOME/share/hadoop/common目录下 并分发到另外两台主机 2.修改$HADOOP_HOME/etc/hadoop/core-sit...
kylin-desktop-v10-sp1-general-release-2303-x86_64
最新发布
02-07
kylin-desktop-v10-sp1-general-release-2303-x86_64是一个基于Linux操作系统的桌面操作系统版本。它采用的是X86_64架构,适用于64位的计算机系统。 这个版本的kylin-desktop-v10-sp1-general-release-2303-x86_64...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值