网络安全漏洞分析之远程代码执行

最新推荐文章于 2024-08-05 16:06:24 发布
最新推荐文章于 2024-08-05 16:06:24 发布
阅读量94 收藏
点赞数
文章标签: web安全 安全 人工智能 学习 网络安全小白 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youmaob/article/details/131332793
版权
ApacheFlume是一个用于收集、聚合和移动大量日志数据的软件,最近被发现存在一个远程代码执行漏洞(CVE-2022-34916),影响版本1.4.0到1.10.0。该漏洞源于JMS源配置中未校验的JNDILDAP数据源URI,允许攻击者通过JNDI注入执行恶意代码。官方已发布安全更新,建议用户升级到安全版本以防止攻击。
摘要由CSDN通过智能技术生成

介绍

Apache Flume 是一个分布式的,可靠的,并且可用于高效地收集,汇总和移动大量日志数据的软件。它具有基于流数据流的简单而灵活的体系结构。它具有可调的可靠性机制以及许多故障转移和恢复机制,并且具有健壮性和容错性。它使用一个简单的可扩展数据模型,该模型允许进行在线分析应用程序。

漏洞描述

在 7 月 22 日,Apache 发布安全公告,修复了一个存在于 Apache Flume 中的远程代码执行漏洞,CVE 编号为 CVE-2022-34916。当攻击者控制目标 LDAP 服务器时,如果配置使用带有 JNDI LDAP 数据源 URI 的 JMS 源,Apache Flume 版本 1.4.0 到 1.10.0 很容易受到远程代码执行 (RCE) 攻击。

利用范围

1.4.0 <= Apache Flume <= 1.10.0

漏洞分析

环境搭建

从 GitHub 上下载 1.10.0 版本,导入 IDEA。

项目 jdk 使用 1.8,然后修改 TestIntegrationActiveMQ 测试类中的 DESTINATION_NAME,因为 destinationName 是由 DESTINATION_NAME 定义;修改 JNDI_PREFIX 为 ldap://

img

【一一帮助安全学习,所有资源获取处一一】

①网络安全学习路线

②20 份渗透测试电子书

③安全攻防 357 页笔记

④50 份安全攻防面试指南

⑤安全红队渗透工具包

⑥网络安全必备书籍

⑦100 个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年 CTF 夺旗赛题解析

在 JMSMessageConsumerTestBase.java 中将 destinationLocator = JMSDestinationLocator.CDI;修改为 destinationLocator = JMSDestinationLocator.JNDI;

img

最后运行 TestIntegrationActiveMQ 测试类即可。

漏洞原理

根据 Apache Flume 漏洞描述,可以确定问题是出现在了 JMSMessageConsumer 中。

img

查看 DIff(https://github.com/apache/flume/commit/7fe9af49)记录发现,修复方式是在 JMSMessageConsumer 中的 else 分支下,在 initialContext.lookup(destinationName)前新增了对 destinationName 的校验。

img

那么漏洞触发点已经很明确了,在没有增加校验前,只要进入 JMSMessageConsumer 中 else 分支,控制 destinationName 参数,即可实现 JNDI 注入。

代码分析

知道了漏洞原理后,分析一下代码。

首先在 TestJMSMessageConsumer#testCreateDurableSubscription 初始化了 JMSMessageConsumer 并传入 destinationLocator

img

destinationLocator 的定义是在 JMSMessageConsumerTestBase.java 中。

img

在搭建环境时,我们是将 destinationLocator = JMSDestinationLocator.CDI;修改为了 destinationLocator = JMSDestinationLocator.JNDI;

img

这样配置,是为了在 JMSMessageConsumer 中不满足 if 条件后,能够进入到 else,到达漏洞触发点。

而在官方提供的测试类中,TestIntegrationActiveMQ 类存在 testQueueLocatedWithJndi,将作为 source 点传入参数。

img

修改 DESTINATION_NAME 为恶意 JNDI 地址,将 JNDI_PREFIX 修改为 ldap://

img

通过参数的传入,经过如上分析的流程,到达 else 后,由于没有校验,直接触发 initialContext.lookup,造成 JNDI 注入,从而执行恶意远程代码。

漏洞复现

img

修复建议

官方已发布安全版本,请尽快更新至安全版本

网安&黑客学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果需要可以点击链接免费领取或者滑到最后扫描二v码

👉[CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]安全链接,放心点击

图片

同时每个成长路线对应的板块都有配套的视频提供:

图片

因篇幅有限,仅展示部分资料,朋友们如果需要可以点击链接免费领取或者滑到最后扫描二v码

👉[CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]安全链接,放心点击

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

图片
图片
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包,需要点击下方链接或者保存图片到wx扫描二v码免费领取保证100%免费

👉[CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]安全链接,放心点击

麻辣牛肉面
关注
泛微E-Office10远程代码执行漏洞
05-06
泛微E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
【python渗透测试】python在渗透测试中的利用(完全版,持续中出)
人间体佐菲的博客
04-11 3853
下面的示例演示了如何使用Python socket模块编写自定义协议的实现:'utf-8'01'utf-8'在上述代码中,我们首先定义了一个handle_client()函数来处理客户端请求。该函数接收客户端套接字对象作为参数,并使用recv()方法接收客户端发送的数据。然后,它打印接收到的消息并使用send()方法发送响应。最后,它关闭客户端套接字以释放资源。服务器端首先创建一个套接字对象,并将其绑定到本地IP地址和端口。然后,它开始监听连接请求,并在while循环中等待客户端连接。
JAVA远程执行CMD, 及执行SQL的代码
赵吉平的专栏
05-05 150
艾思科技, 软件定制开发
RCE(‌Remote Code Execution,‌远程代码执行)‌
2303_77293157的博客
07-15 694
‌这种攻击方式通常涉及到系统或应用程序的安全漏洞,‌使得攻击者能够注入或上传恶意代码,‌并在受害者的系统上执行这些代码。是 PHP 中另一个用于执行系统命令的函数,它的作用是将命令的输出直接传递给调用者,而不是将输出作为 PHP 字符串返回。是 PHP 中用于与外部程序进行交云的一个非常有用的函数。它的作用是打开一个流到外部程序,这个流可以是程序的标准输入或标准输出。函数不会捕获命令的输出,而是直接在服务器上执行命令,并且将命令的输出作为数组返回。函数执行的命令的输出将直接显示在调用它的脚本的输出中;
远程代码执行
ad12456的博客
03-28 3645
远程代码执行
远程代码执行漏洞及防御
2301_76717406的博客
03-25 1660
远程命令/代码执行漏洞(RC(command/code)E):RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统;
远程代码执行远程命令执行是一个东西吗
Nove1205的博客
06-15 677
远程代码执行远程命令执行是一个东西吗
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
### ThinkPHP 5.0 远程代码执行漏洞分析 #### 漏洞背景与概述 ThinkPHP是一款广泛使用的PHP框架,它提供了丰富的功能和良好的性能。然而,如同任何复杂的软件系统一样,它也存在安全漏洞。本次分析的焦点集中在...
医疗器械网络安全漏洞识别与评估方法
03-25
### 医疗器械网络安全漏洞识别与评估方法 #### 一、引言 随着信息技术的快速发展,医疗器械越来越多地采用网络连接技术来实现数据传输、远程监控等功能。然而,这些技术的应用也带来了新的网络安全风险,如未经...
畅捷通 T+ 远程代码执行漏洞安全风险通告
08-30
此公告涉及的是畅捷通T+软件的一个严重安全漏洞,即“畅捷通T+远程代码执行漏洞”。畅捷通T+是一款专为中小型工贸和商贸企业设计的云端企业管理软件,集成了财务管理、采购管理、库存管理等多种功能,并融合了社交化...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
RCE(远程代码执行
最新发布
qq_69100706的博客
08-05 451
在CTF(Capture The Flag)竞赛中,RCE(Remote Code Execution,远程代码执行)是一种常见的挑战类型,它考验参赛者发现并利用远程服务中的漏洞执行任意代码的能力。RCE漏洞允许攻击者在远程服务器上运行自定义指令或代码,这可以被用来获取敏感信息、修改数据、控制系统或进一步渗透网络
RCE(远程命令执行漏洞详解
sev1n的博客
04-02 3018
RCE(remote command/code execute,远程命令执行)漏洞 远程代码执行 (RCE) 攻击是指攻击者可以在一个组织的计算机或网络上运行恶意代码执行攻击者控制的代码的能力可用于各种目的,包括部署额外的恶意软件或窃取敏感数据。
RCE远程代码执行
q
06-18 841
RCE代码执行:引用脚本代码解析执行RCE命令执行:脚本调用操作系统命令。
远程代码执行及反序列化漏洞
weixin_59616219的博客
12-21 898
远程代码执行及反序列化漏洞
Apache Flume 远程代码执行漏洞(CVE-2022-25167)
murphysec的博客
06-14 2161
CVE-2022-25167漏洞是由于Apache Flume 的 JMSSource 类对配置的 JNDI LDAP 数据源中路径没有进行验证,导致不受信任的数据被反序列化。该漏洞影响范围小,漏洞等级中。影响版本为1.4.0到 1.9.0,官方已发布更新,建议用户更新到最新版本。参考链接: https://issues.apache.org/jira/browse/FLUME-3416 https://nvd.nist.gov/vuln/detail/CVE-2022-25167 https://secl
Windows RDL远程代码执行漏洞修复指南
在本例中,RDL漏洞是一个远程代码执行漏洞,意味着攻击者可以通过该漏洞远程在受影响的系统上执行任意代码,这无疑是非常危险的,因为它可以被用来安装恶意软件、控制受影响的系统或盗取敏感数据。 对于这类漏洞,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值