Apache Flink 目录遍历漏洞之脚本收集可访问服务端口

最新推荐文章于 2023-09-22 16:30:43 发布
最新推荐文章于 2023-09-22 16:30:43 发布
阅读量215 收藏 1
点赞数
分类专栏: 工具使用 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39664643/article/details/112286264
版权

CVE-2020-17518/17519:Apache Flink 目录遍历漏洞

实现收集存在flink框架的服务器,并判断是否可访问

# 脚本功能:
# 从(主机资产)xxx.json中搜索使用Flink框架的服务器,提取并测试其8081端口是否开启可访问
#
import json
import requests


# flink_list = []  # 存放具有flink的服务器
# valid_flink = [] # 存放可访问的flink

 
# 搜索使用Flink框架的服务器
def search_flink():
    with open(r'D:\xxx.json', 'r') as f:
        d = json.load(f)
        #print(type(d))   # 确定好操作的是json对象还是python 数据类型
        for i in range(1691):
            if d[i].get("key_name", 0): # 判断当前数组字典中是否存在key
                if "flink" in d[i]["key_name"]:
                    flink_list.append(d[i]["ip"])
    print(flink_list)



# 提取并测试其8081端口是否开启可访问
def request_flink(length):
    for i in range(length):
        try:
            r = requests.get('http://' + flink_list[i] + ':8081', timeout=3)
            if "Apache Flink" in r.text:
                valid_flink.append(flink_list[i]+ ':8081')
        except Exception as e:
            print('this is an error:',e)
    print(valid_flink)



if __name__ == "__main__":
    flink_list = []  # 存放具有flink的服务器
    valid_flink = [] # 存放可访问的flink
    search_flink()
    length = len(flink_list)
    request_flink(length)

漏洞复现:
CVE-2020-17518
CVE-2020-17519

F4ke12138
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Flink -任意文件写入漏洞复现(CVE-2020-17518)
0xSec
01-11 1339
Apache Flink 是高效和分布式的通用数据处理平台,由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎(简单来说,就是跟spark类似)
Apache Flink目录遍历(CVE-2020-17519)批量检测脚本
09-24
Apache Flink目录遍历(CVE-2020-17519)批量检测工具 2021年1月5日,Apache Flink官方发布安全更新,修复了由蚂蚁安全非攻实验室发现提交的2个高危漏洞漏洞之一就是Apache Flink目录遍历漏洞(CVE-2020-17519)。 Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,攻击者可通过REST API使用../跳目录实现系统任意文件读取。
Apache Flink jobmanager 目录遍历漏洞
weixin_46801402的博客
11-02 532
Apache Flink jobmanager 目录遍历漏洞
tomcat源码分析_CVE-2020-9484 tomcat session反序列化漏洞分析
weixin_39839162的博客
11-27 194
作者:N1gh5合天智汇title: CVE-2020-9484 tomcat session反序列化漏洞分析 tags: CVE,Tomcat,反序列化 grammar_cjkRuby: true本文借助CVE-2020-9484 Tomcat漏洞详细的介绍了本地和远程调试Tomcat 源码。分析漏洞成因以及补丁修补情况,以及分析ysoserial反序列化链。0x01 漏洞简介Apache To...
Apache Flink 目录遍历漏洞 CVE-2020-17519
m0_54323635的博客
08-31 331
2021年01月06日,360CERT监测发现Apache Flink发布了Apache Flink 目录穿越漏洞的风险通告,漏洞编号为CVE-2020-17518,CVE-2020-17519,漏洞等级:高危,漏洞评分:8.5。Apache Flink 1.11.0 中引入的一项更改(也在 1.11.1 和 1.11.2 中发布)允许攻击者通过 JobManager 进程的 REST 接读取 JobManager 本地文件系统上的任何文件。
apache flink目录遍历漏洞(CVE-2020-17518复现)
ANYOUZHEN的博客
06-04 1274
漏洞描述:apache Flink目录遍历漏洞,可通过REST API读/写远程文件影响版本:Flink 1.5.1-1.11.2接下来开始复现:我们通过vulhub进行复现打开vulhub上的flink里的cve-2020-17518使用docker-compose配置相关环境:(在靶场cve-2020-17518使用下面的指令) 然后输入kali密码即可成功启动环境接下来我们查看当前环境:在靶场终端输入: 但是在我的kali2022上面出现了报错:8行,和上一篇文章出现了一样的问题,上网搜
Apache Flink 目录遍历
众生度尽,方证菩提
05-05 216
​我举手向苍穹,并非一定要摘星取月,我只是需要这个向上的、永不臣服的姿态。
Apache Flink目录遍历(CVE-2020-17519)单目标检测工具
09-24
2021年1月5日,Apache Flink官方发布安全更新,修复了由蚂蚁安全非攻实验室发现提交的2个高危漏洞漏洞之一就是Apache Flink目录遍历漏洞(CVE-2020-17519)。 Flink核心是一个流式的数据流执行引擎,其针对数据流的...
CVE-2020-17519:Apache Flink 目录遍历漏洞批量检测 (CVE-2020-17519)
05-30
脚本Apache Flink 目录遍历漏洞批量检测 (CVE-2020-17519)。 使用方法:Python CVE-2020-17519.py urls.txt urls.txt 中每个url为一行,漏洞地址输出在vul.txt中 影响版本: Apache Flink 1.11.0、1.11.1、...
Apache-flink 未授权访问任意jar包上传反弹shell.MD
04-12
Apache-flink 未授权访问任意jar包上传反弹shell
Apache Flink目录遍历漏洞
ITgougou_的博客
01-07 307
fofa语法搜索app="Apache-Flink" poc: http://IP:PORT/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd 读取成功
apache目录遍历漏洞利用_Apache Flink 目录遍历漏洞(CVE-2020-17518)WINDOWS 环境复现
weixin_42300090的博客
02-15 458
Apache Flink目录遍历漏洞复现(CVE-2020-17518)1.漏洞复现1.1漏洞背景Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和流水线方式执行任意流数据程序,Flink的流水线运行时系统可以执行批处理和流处理程序。近日 Apache官网发布了Apache Flink目录遍历漏洞(...
Apache(2.4.49 2.4.50)--目录遍历--命令执行--(CVE-2021-42013)&&(CVE-2021-41773)
最新发布
weixin_74985952的博客
09-22 51
Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点,发现 Apache HTTP Server 2.4.50 中针对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则这可能允许远程代码执行。
Apache Flink目录遍历漏洞(REST API读/写远程文件)
crowsec
02-10 1402
CVE-2020-17518复现
Apache Flink路径遍历 (CVE-2020-17519)
qq_41132792的博客
05-11 827
Apache Flink 1.11.0 中引入的一项更改(也在 1.11.1 和 1.11.2 中发布)允许攻击者通过 JobManager 进程的 REST 接读取 JobManager 本地文件系统上的任何文件。
[ vulhub漏洞复现篇 ] Apache Flink目录遍历(CVE-2020-17519)
qq_51577576的博客
09-26 3174
[ vulhub漏洞复现篇 ] Apache Flink目录遍历 2021年1月5日,Apache Flink官方发布安全更新,修复了由蚂蚁安全非攻实验室发现提交的2个高危漏洞漏洞之一就是Apache Flink目录遍历漏洞(CVE-2020-17519)。 Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,攻击者可通过REST API使用../跳目录实现系统任意文件读取。
VULFOCUS靶场vulfocus/twonkyserver-cve_2018_7171:latest )
qq_44122254的博客
09-02 471
vulfocus/twonkyserver-cve_2018_7171:latest
漏洞复现-twonkyserver-目录遍历vulfocus/twonkyserver-cve_2018_7171
10-15 678
【twonkyserver-目录遍历】读取文件
apache flink文件上传漏洞修复
05-20
Apache Flink是一个分布式流处理框架,从版本1.0.0到1.4.0存在文件上传漏洞,攻击者可以通过该漏洞上传恶意文件并在服务器上执行任意代码,造成严重的安全风险。以下是修复该漏洞的步骤: 1.升级Apache Flink版本至...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值