未授权访问漏洞(三)

11.Hadoop未授权访问漏洞

漏洞简介

Hadoop是一个由Apache基金会所开发的分布式系统基础架构，由于服务器直接在开放了Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口，黑客可以通过命令行操作多个目录下的数据，如进行删除，下载，目录浏览甚至命令执行等操作，产生极大的危害。

漏洞复现

fofa搜索语法:

port="8088" && app="Hadoop"

直接访问不用密码验证。

漏洞修复

• 升级Hadoop到x版本以上，并启用Kerberos认证功能，禁止匿名访问;
• 设置“安全组”访问控制策略，将 Hadoop 默认开放的多个端口对公网全部禁止或限制可信任的 IP 地址才能访问包括 50070 以及 WebUI 等相关端口；
• 如无必要，关闭 Hadoop Web 管理页面；

12.ActiveMQ未授权访问漏洞

漏洞简介

ActiveMQ是一款流行的开源消息服务器。默认情况下，ActiveMQ服务是没有配置安全参数。恶意人员可以利用默认配置弱点发动远程命令执行攻击，获取服务器权限，从而导致数据泄落。

漏洞复现

fofa搜索语句:

body="ActiveMQ" && port="8161"

ActiveMQ默认使用8161端口，默认用户名和密码是 admin/admin ，在打开的页面输入。

漏洞修复

• 针对未授权访问，可修改conf/jetty.xml文件，bean id为securityConstraint下的authenticate修改值为true，重启服务即可。
• 针对弱口令，可修改conf/jetty.xml文件，bean id 为securityLoginService下的conf值获取用户properties，修改用户名密码，重启服务即可。

13.RabbitMQ未授权访问漏洞

漏洞简介

  RabbitMQ是目前非常热门的一款消息中间件，基于AMQP协议的，可以在发布者和使用者之间交换异步消息。消息可以是人类可读的JSON，简单字符串或可以转换为JSON字符串的值列表。

漏洞复现

fofa搜索语法:

port="15672"

port="15692"

port="25672"

直接访问网站，使用默认密码登录。

默认账号与密码均为guest

漏洞修复

• 修改为强密码，删除默认的账号guest；
• 禁止对外网开放，仅限于内部访问；

14.Springboot Actuator未授权访问漏洞

漏洞简介

  Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块，借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点（endpoints）来获取应用系统中的监控信息，从而导致信息泄露甚至服务器被接管的事件发生。

原生端点主要有:

dump -显示线程转储(包括堆栈跟踪)

/autoconfig - 显示自动配置报告

/configprops -显示配置属性

/trace -显示最后几条HTTP消息(可能包含会话标识符)

/logfile - 输出日志文件的内容

/shutdown -关闭应用程序
/info - 显示应用信息
/metrics -显示当前应用的'指标"信息

/health - 显示应用程序的健康指标
/beans-显示Spring Beans的完整列表

/mappings-显示所有MVC控制器映射
/env -提供对配置环境的访问
/restart -重新启动应用程序

漏洞复现

fofa搜索语法:

icon_hash="116323821"  （不好找）

直接访问网站。

在网址后拼接 /trace  或  /env  再次访问。

漏洞修复

• 禁用/env接口；
• 升级到SpringBoot Actuator 2.0；
• 禁止对外开放；

15.FTP未授权访问漏洞(匿名登陆)

漏洞简介

  FTP 弱口令或匿名登录漏洞，一般指使用 FTP 的用户启用了匿名登录功能，或系统口令的长度太短、复杂度不够、仅包含数字、或仅包含字母等，容易被黑客攻击，发生恶意文件上传或更严重的入侵行为。

漏洞复现

直接访问ftp路径：ftp://ip:port/

漏洞修复

禁止匿名登录。