CVE-2021-45456 Apache Kylin 命令注入

Y4er 收录于类别代码审计和系列 Series

2022-01-13 2022-01-13 约 946 字预计阅读 2 分钟

警告

本文最后更新于 2022-01-13，文中内容可能已过时。

# 环境搭建

ubuntu docker 8g

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
docker pull apachekylin/apache-kylin-standalone:4.0.0

docker run -d \
-m 8G \
-p 7070:7070 \
-p 8088:8088 \
-p 50070:50070 \
-p 8032:8032 \
-p 8042:8042 \
-p 2181:2181 \
-p 5005:5005 \
apachekylin/apache-kylin-standalone:4.0.0

5005是远程调试端口

Kylin 页面：http://127.0.0.1:7070/kylin/login admin KYLIN HDFS NameNode 页面：http://127.0.0.1:50070 YARN ResourceManager 页面：http://127.0.0.1:8088

具体看官方的docker安装文档 https://kylin.apache.org/cn/docs/install/kylin_docker.html

远程调试配置，修改 /home/admin/apache-kylin-4.0.0-bin-spark2/bin/kylin.sh

在retrieveStartCommand函数修改

1
$JAVA ${KYLIN_EXTRA_START_OPTS} ${KYLIN_TOMCAT_OPTS} -Xdebug -Xrunjdwp:transport=dt_socket,server=y,suspend=n,address=5005 -classpath ${KYLIN_TOMCAT_CLASSPATH}  org.apache.catalina.startup.Bootstrap start >> ${KYLIN_HOME}/logs/kylin.out 2>&1 & echo $! > ${KYLIN_HOME}/pid &

# 分析

在 org.apache.kylin.rest.controller.DiagnosisController#dumpProjectDiagnosisInfo 中

跟进dumpProjectDiagnosisInfo

这里getProject()通过ValidateUtil.convertStringToBeAlphanumericUnderscore(project)处理，但是runDiagnosisCLI(args)中接受的cmd参数仍然是通过project传过来的，相当于命令行可控。

而且getProject(ValidateUtil.convertStringToBeAlphanumericUnderscore(project))将传入的命令进行如下处理。将除数字字母下划线以外的东西替换为空。比如传入命令为 touch 123，将被替换为touch123

1
2
3
    public static String convertStringToBeAlphanumericUnderscore(String toBeConverted) {
        return toBeConverted.replaceAll("[^a-zA-Z0-9_]", "");
    }

刚好解决projectInstance==null抛出异常的问题。

1
2
3
4
        if (null == projectInstance) {
            throw new BadRequestException(
                    String.format(Locale.ROOT, msg.getDIAG_PROJECT_NOT_FOUND(), project));
        }