Apache Airflow Security
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apache Airflow inatumika kama jukwaa la kuandaa na kupanga mipango ya data au kazi. Neno "kuandaa" katika muktadha wa mipango ya data linaashiria mchakato wa kupanga, kuratibu, na kusimamia kazi ngumu za data zinazotokana na vyanzo mbalimbali. Lengo kuu la mipango hii ya data iliyopangwa ni kutoa seti za data zilizoshughulikiwa na zinazoweza kutumika. Seti hizi za data zinatumika sana na maombi mengi, ikiwa ni pamoja na lakini sio tu zana za akili ya biashara, sayansi ya data na mifano ya kujifunza mashine, ambazo zote ni msingi wa utendaji wa maombi makubwa ya data.
Kwa msingi, Apache Airflow itakuruhusu kupanga utekelezaji wa msimbo wakati kitu (tukio, cron) kinatokea.
Unaweza kutumia faili ya usanidi ya docker-compose kutoka https://raw.githubusercontent.com/apache/airflow/main/docs/apache-airflow/start/docker-compose.yaml kuanzisha mazingira kamili ya docker ya apache airflow. (Ikiwa uko kwenye MacOS hakikisha unatoa angalau 6GB ya RAM kwa VM ya docker).
Njia moja rahisi ya kufanya kazi na apache airflow ni kuikimbia na minikube:
Airflow inaweza kuhifadhi taarifa nyeti katika usanidi wake au unaweza kupata usanidi dhaifu ulio katika nafasi:
Kabla ya kuanza kushambulia Airflow unapaswa kuelewa jinsi ruhusa zinavyofanya kazi:
Ikiwa una ufikiaji wa console ya wavuti unaweza kuwa na uwezo wa kufikia baadhi au zote za taarifa zifuatazo:
Variables (Taarifa nyeti za kawaida zinaweza kuhifadhiwa hapa)
Connections (Taarifa nyeti za kawaida zinaweza kuhifadhiwa hapa)
Fikia hizo katika http://<airflow>/connection/list/
Configuration (Taarifa nyeti kama secret_key
na nywila zinaweza kuhifadhiwa hapa)
Orodha ya watumiaji & majukumu
Code ya kila DAG (ambayo inaweza kuwa na taarifa za kuvutia)
Variables zinaweza kuhifadhiwa katika Airflow ili DAGs ziweze kufikia thamani zao. Ni sawa na siri za majukwaa mengine. Ikiwa una ruhusa za kutosha unaweza kuzifikia katika GUI katika http://<airflow>/variable/list/
.
Airflow kwa kawaida itaonyesha thamani ya variable katika GUI, hata hivyo, kulingana na hii inawezekana kuweka orodha ya variables ambazo thamani zitakuwa zinaonekana kama asterisks katika GUI.
Hata hivyo, hizi thamani bado zinaweza kupatikana kupitia CLI (unahitaji kuwa na ufikiaji wa DB), kutekeleza DAG isiyo na mpangilio, API inayofikia mwisho wa variables (API inahitaji kuwezeshwa), na hata GUI yenyewe! Ili kufikia hizo thamani kutoka kwa GUI chagua tu variables unazotaka kufikia na bonyeza kwenye Actions -> Export. Njia nyingine ni kufanya bruteforce kwa thamani iliyofichwa kwa kutumia uchujaji wa utafutaji hadi upate hiyo:
Ikiwa usanidi wa expose_config
umewekwa kuwa True, kutoka kwa role User na juu wanaweza kusoma config katika wavuti. Katika usanidi huu, secret_key
inaonekana, ambayo inamaanisha mtumiaji yeyote mwenye hii halali wanaweza kuunda cookie yao iliyosainiwa ili kujifanya kuwa akaunti nyingine yoyote ya mtumiaji.
Ikiwa una ufikiaji wa kuandika mahali ambapo DAGs zimehifadhiwa, unaweza tu kuunda moja ambayo itakutumia reverse shell. Kumbuka kwamba reverse shell hii itatekelezwa ndani ya airflow worker container:
Ikiwa utaweka kitu kifanyike katika mzizi wa msimbo, wakati wa kuandika hii, kitafanywa na scheduler baada ya sekunde chache baada ya kukiweka ndani ya folda ya DAG.
Ikiwa utafanikiwa kushambulia mashine ndani ya klasta ya DAG, unaweza kuunda scripts za DAG katika folda ya dags/
na zitakuwa zinakopiwa katika mashine nyingine ndani ya klasta ya DAG.
Unapotekeleza DAG kutoka kwa GUI unaweza kupitisha hoja kwake. Hivyo, ikiwa DAG haijakodishwa vizuri inaweza kuwa na udhaifu wa Command Injection. Hivyo ndivyo ilivyotokea katika CVE hii: https://www.exploit-db.com/exploits/49927
Kila unachohitaji kujua ili kuanza kutafuta command injections katika DAGs ni kwamba parameta zinapatikana kwa kutumia dag_run.conf.get("param_name")
.
Zaidi ya hayo, udhaifu sawa unaweza kutokea na mabadiliko (zingatia kwamba kwa ruhusa ya kutosha unaweza kudhibiti thamani ya mabadiliko katika GUI). Mabadiliko yanapatikana kwa:
Ikiwa zinatumika kwa mfano ndani ya amri ya bash, unaweza kufanya uingiliaji wa amri.
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)