Apache Flink CVE-2020-17518/17519 漏洞复现

 一、CVE-2020-17518 任意文件写入漏洞

　　1.漏洞环境

　　　　win10（上传jar包换成了linux）、Flink 1.8.1

　　2.影响版本

　　　　Apache Flink 1.5.1-1.11.2

　　3.复现过程

　　　　3.1 下载的下面参考链接里的1.8.1版本，可以在win环境下直接启动

　　　　

 

 　　　　3.2 访问ip+8081地址——>Submit new Job——>Add New 上传按钮

　　　　（此功能默认只能上传jar包，但是修改报文后可任意文件上传到任意位置）

　　　　

 

　　4. 复现（方式一）

　　　　上传txt文件，上传失败，只允许上传jar包

　　　　

 

 　　　输入../../ 再次尝试上传，显示上传失败（这里应该可以说明已经绕过了上传类型的限制，那为什么失败呢，是因为没有具体的路径）

　　　　

 

 　　　　再次尝试，桌面新建一个test的文件夹，通过绝对路径上传

　　　　

 

　　　　上传成功！！！

 　　　　

 

 　　　　总结：1.这个漏洞是利用我是在win环境下搭建的，如果是linux环境同理

　　　　　　     2.但是这个组件没有类似tomcat的那种appweb目录，好像不能通过上传webshell的方式拿shell；或者同服务器有部署其他web服务并知道它的绝对路径上传webshell

　　　　　　　 3.可以上传反弹shell的文件到运维管理人员的容易看到的地方，例：win下上传免杀exe到桌面诱使管理员点击反弹shell

　　　　　　　 4.还看到一种上传jar包的，并且可以web控制执行反弹shell的利用方式，下面尝试复现

　　5.复现（方式二）上传jar包

　　　　　使用msfvenom生成jar包

　　　　　

 

　　　　　 点击Submit按钮

 　　　　　

 

　　　　用win监听的，结果执行不了命令，一执行就崩溃（原因未知）

 　　　　

 

　　总结：1.刚开始用win环境搭建的上传后点击按钮，监听不到shell，而且应用直接崩溃，应该是和jar包执行有关，后来换了linux环境

  二、CVE-2020-175189 目录遍历

　　1.漏洞环境

　　　　linux、Flink 1.11.2

　　2.影响版本

　　　　Apache Flink 1.11.0、1.11.1、1.11.2

　　3.复现过程

　　POC：/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd

 　　

 

 　　这个简单。。。

参考链接：

　　https://www.freebuf.com/vuls/260355.html

　　https://blog.csdn.net/weixin_44508748/article/details/110096322

　　https://mp.weixin.qq.com/s/9xLQ1YAWVtHBv9qVk-Xc1A