azkaban 任意代码执行

最新推荐文章于 2022-03-17 15:19:00 发布
最新推荐文章于 2022-03-17 15:19:00 发布
阅读量850 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DUANYU23/article/details/115577340
版权

azkaban 任意代码执行

0X001前言

Azkaban是由Linkedin开源的一个批量工作流任务调度器。用于在一个工作流内以一个特定的顺序运行一组工作和流程。
Azkaban定义了一种KV文件格式来建立任务之间的依赖关系,并提供一个易于使用的web用户界面维护和跟踪你的工作流。

azkaban web UI默认在8443端口

0X002 漏洞影响

可以上传任意代码并且执行

0X003 漏洞原理

type=command
command=[执行命令]

通过编写.job文件并进行zip压缩,从而上传至Azkaban来执行命令

0X004 漏洞复现

0X041 空间搜索寻找目标

搜索语法:title="Azkaban"

在这里插入图片描述

0X042 尝试登陆/爆破密码

zkaban web服务器用户配置文件中管理员用户密码使用弱密码。

(常见的管理员用户和密码)
root root
admin admin
azkaban azkaban

在这里插入图片描述

0X043 上传代码

Create Project 创建项目
在这里插入图片描述在这里插入图片描述upload上传文件
在这里插入图片描述

#查看当前权限
type=command
command=whoami

在这里插入图片描述
压缩成zip文件进行上传
在这里插入图片描述
执行上传的文件
在这里插入图片描述
在这里插入图片描述在这里插入图片描述查询到当前用户的权限了
在这里插入图片描述

在这里插入图片描述

0X005 POC

0X006 修复建议

使用复杂口令(长度8位以上,由数字、大小写字母、特殊字符组成)

韭菜小白菜
关注
专栏目录
【大数据之路9】任务调度工具 Azkaban
程序员五哥
06-14 768
1. 一个完整的数据分析系统通常都是由大量任务单元组成:shell 脚本程序、Java 程序、MapReduce 程序、Hive 脚本等2. 各任务单元之间存在的时间先后及前后依赖关系3 为了很好的组织起这样复杂的执行计划,需要一个工作流调度系统来调度执行通过 Hadoop 先将原始数据同步到 HDFS上借助 MapReduce 计算框架对原始数据进行清洗转换,生成的数据以分区表的形式存储到多张 Hive 表中需要对 Hive 中多个表的数据进行处理,得到一个明细数据 Hive 大表。
Oozie原理与代码实例讲解
最新发布
AI天才研究院
06-04 582
Oozie原理与代码实例讲解 1.背景介绍 在大数据时代,数据处理任务变得越来越复杂,单一的MapReduce作业已经无法满足企业的需求。为了解决这个问题,Apache推出了Oozie工作流调度引擎。Oozie是一个用于管理Hadoop作业(如Java MapReduce、Pig作业、Hive查
Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞解决
01-09
背景:Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可导致远程命令执行获取服务器权限,风险极大。 1,漏洞描述: Apache Shiro < 1.4.2 版本中cookie值rememberMe通过AES-128-CBC模式加密,容易受到Padding Oracle攻击。攻击者可以通过以下步骤完成攻击: 1、登录Shiro网站,获取持久化cookie中rememberMe字段的值;
azkaban的安全漏洞,禁用TRACE
dengwei_dw的专栏
05-19 1204
azkaban的安全漏洞: Sun Java System Application Server 7和7 2004Q2的默认设置可以启动HTTP TRACE路径, 更易于远程攻击者通过一个跨站追踪工具窃取cookies和验证信任, 该问题与CVE-2004-2763和CVE-2005-3398相关 参考azkaban的github https://github.com/azkaban/azkaban/pull/2044 https://github.com/azkaban/azkaban/pull/2
Azkaban 指定executor执行任务
weixin_42254293的博客
02-10 710
Azkaban 指定executor执行任务 虾米在海飘 0.22 2016.12.01 16:23:18 字数 247 阅读 8,519 当使用multiple Executor的时候,有一些场景需要指定Executor来执行任务,例如任务迁移的时候,需要将任务分配到新加入的Executor来观察其能够稳定运行,同时在出现问题的时候能够尽快分配到之前的没有问题的 Executor来保证任务的稳定运行,因此,需要将任务分配到指定的Executor上来执行。 首先看官网: 大概意思就是在 flow param
azkaban执行各种job任务
qq_15076569的博客
11-20 6855
一:Azkaban执行各种job任务 所有的job文件打成zip的压缩包,注意:不能是rar压缩 所有job文件可以通过Noteped++编辑该文件,注意设置Job文件的格式编码 1)azkaban的job操作普通linux语句 type=command command=echo 'hello world' 2)azkaban的job操作shell脚本及脚本参数传递 typ...
azkaban内存泄露问题排查&解决记录
03-17 1425
azkaban-exec内存泄露问题解决
Azkaban执行器与执行器管理
Azkaban执行器是一个用于任务调度与执行的开源工具,主要用于处理大数据平台上的复杂任务流程调度和执行。它可以帮助用户实现任务的定时调度、依赖管理、任务流程监控和报告等功能。通过Azkaban执行器,用户可以方便...
工作流调度器azkaban
qq_38709565的博客
11-15 597
目录 2.1 概述 2.1.1为什么需要工作流调度系统 2.1.2 工作流调度实现方式 2.1.3 常见工作流调度系统 2.1.4 各种调度工具特性对比 2.1.5 Azkaban与Oozie对比 2.2 Azkaban介绍 2. 3 Azkaban安装部署 准备工作 安装 azkaban web服务器安装 azkaban 执行服器安装 修改文件属性以及配置环境变量 创...
工作流调度器Azkaban的基本架构、运行模式、安装部署和使用案例详解
weixin_43230682的博客
09-03 1419
目录 一、准备工作 二、Azkaban介绍 1. 为什么需要工作流调度系统 2. Azkaban介绍 三、Azkaban的基本架构 四、Azkaban的三种运行模式 五、Azkaban的安装部署 1. Azkaban的编译 2. Azkaban两个服务模式安装 六、Azkaban使用场景案例 1. Command类型单一job示例 2. Command类型多job工作流flow 3. HDFS操作任务 4. MAPREDUCE任务 5. HIVE脚本任务 6. Azkaban
那些年走过的azkaban的坑
Bryce_Loski的博客
07-06 2504
写在前面的话:azkaban这个轻量级的调度工具说实话报错信息真的很让人捉急,基本上提供不了什么有用的信息 1. java.lang.IllegalStateException: Process has not yet started 检查点一:检查flow文件内容是否写正确,格式问题,脚本路径。这一切都很重要!!! 检查点二:如果在集群中部署了多Executor模式。那么在这种模式下Azkaban web Server会根据策略,选取其中一个Executor取执行任务。如果给Azkaban调度扽脚本所需
azkaban的部署过程中遇到的一些坑(部署篇)
weixin_34183910的博客
09-14 1962
2019独角兽企业重金招聘Python工程师标准>>> ...
azkaban踩坑
weixin_44847293的博客
12-15 303
错误一 Exception in thread "main" java.lang.NoClassDefFoundError: Could not initialize class org.apache.derby.jdbc.AutoloadedDriver40 at java.lang.Class.forName0(Native Method) at java.lang.Class.forName(Class.java:348) at java.sql.DriverManager.isDriverAl
从源码看Azkaban作业流下发过程
weixin_30325487的博客
08-05 234
上一篇零散地罗列了看源码时记录的一些类的信息,这篇完整介绍一个作业流在Azkaban中的执行过程,希望可以帮助刚刚接手Azkaban相关工作的开发、测试。 一、Azkaban简介   Azkaban作为开源的调度系统,在大数据中有广泛地使用。它主要有三部分组成:Azkaban Webserver、Azkaban Executor、 DB。              图1 Azkaban...
[Hadoop] Azkaban 安装插件
Cindy的博客
09-20 753
  前面我们完成了Azkaban-3.58.0的源码编译和multiple-executor mode部署,现在来安装hdfs-viewer插件。 1. 拷贝hdfs-viewer到目标主机 hdfs-viewer插件是安装在azkaban-web-server端的,首先去目标主机的$AK_HOME/下新建plugins/viewer文件夹,然后解压编译好的将编译好的hdfs-viewer插...
大数据----【azkaban的部署及实战测试】
CoderBoom的博客
11-22 990
工作流程调度器 1. 工作流程调度系统产生背景 一个完整的数据分析系统通常都是由大量任务单元组成 : ​ shell脚本程序 , java程序 , MapReduce程序 , hive脚本等 各个任务单元之间存在时间先后依赖关系 为了更好地组织起这样的复杂执行计划 , 需要一个工作流程调度系统来调度执行 2. 工作流程调度实现方式 简单的任务调度 : ​ 直接使用linux的crontab来定义 ...
CronTrigger Tutorial
Jay Chang
08-02 184
CronTrigger Tutorial CronTrigger Tutorial Introduction Format Special characters Examples Notes Introduction cron is a UNIX tool that has been around for a long time, so its ...
Azkaban-开源任务调度程序(使用篇)
huanghai的专栏
04-22 4367
Azkaban-开源任务调度程序(使用篇) 字数1271 阅读779 评论5 喜欢10 上篇文章说到了安装,这次说说使用 登录 https://localhost:8443 注意是https,采用的是jetty ssl链接。输入账号密码azkaban/azkanban(如果你之前没有更改的话) 首页 首页有四个菜单 projects:最重
Azkaban使用流程
m0_38102941的博客
03-13 665
Azkaban使用流程 转至元数据结尾 转至元数据起始 访问: 公共组件的Azkaban目前部署在l-job1.ppt.cn2服务器上,可以直接通过http://l-azkaban1.ppt.cn2.qunar.com:8081/index来进行访问 账号密码: 账号和密码都为azkaban,之后可能接入LDAP 创建工程: 点击右上角的Create Project 并输入工...
Hive数仓与Azkaban任务代码结构解析
主要分为Azkaban定时任务代码、Hive数仓代码、Mysql数据库代码以及Spark任务代码。" Azkaban是一个流行的开源工作流调度系统,用于管理和执行一系列相互依赖的作业。在提供的资源中,Azkaban的任务代码组织如下: -...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值