未授权访问:ZooKeeper 未授权访问漏洞

最新推荐文章于 2024-05-30 23:24:19 发布
最新推荐文章于 2024-05-30 23:24:19 发布
阅读量693 收藏 10
点赞数 11
分类专栏: 安全 未授权访问 文章标签: zookeeper 分布式 云原生 安全 web安全 未授权访问 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68163788/article/details/138451070
版权

目录

1、漏洞原理

2、环境搭建

3、未授权访问

防御手段

今天继续学习各种未授权访问的知识和相关的实操实验,一共有好多篇,内容主要是参考先知社区的一位大佬的关于未授权访问的好文章,还有其他大佬总结好的文章:

这里附上大佬的好文章链接:常见未授权访问漏洞总结 - 先知社区

我在这只是学习大佬总结好的相关的知识和实操实验,那么废话不多说,开整。

第八篇是关于ZooKeeper的未授权访问

1、漏洞原理

zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。

Zookeeper的默认开放端口是2181。

Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。

攻击者能够执行所有只允许由管理员运行的命令。

2、环境搭建

#搭建环境
wget https://archive.apache.org/dist/zookeeper/zookeeper-3.4.14/zookeeper-3.4.14.tar.gz
tar -xzvf zookeeper-3.4.14.tar.gz 
cd zookeeper-3.4.14/conf
mv zoo_sample.cfg zoo.cfg
../bin/zkServer.sh start # 启动

 启动Zookeeper

3、未授权访问

#获取该服务器的环境
echo envi|nc 192.168.159.202 2181

可以看到成功的访问到了

利用zookeeper可视化管理工具进行连接

下载地址:https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip

 可以看到成功的连接了

防御手段

  • 修改 ZooKeeper 默认端口,采用其他端口服务。
  • -添加访问控制,配置服务来源地址限制策略。
  • -增加 ZooKeeper 的认证配置。

到此Zookeeper未授权访问漏洞的基础知识就学习完了,后面还有很多的别未授权访问的知识等着我去学习,我们后面见(*^▽^*)

未知百分百
关注
  • 11
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
web渗透测试漏洞复现:ZooKeeper授权漏洞复现
HACKONE的博客
03-30 439
ZooKeeper 是一个分布式的、开源的协调服务,最初由雅虎开发,现隶属于 Apache 软件基金会,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件,旨在为大型分布式系统提供一致性的服务。ZooKeeper 的设计目的是简化分布式应用程序的开发和维护,它通过提供一组简单易用的原语和数据模型,为分布式系统中的进程提供协作服务。
Zookeeper授权访问漏洞
Kevin's Blog
05-11 1万+
文章目录一、简单介绍二、漏洞原因三、影响版本四、检测方法五、防御措施 一、简单介绍  &ems;Zookeeper是一个分布式开放源码的分布式应用程序(分布在不同计算机上,客户端/服务端模式)协调服务,是Hadoop和HBase的重要组件。 目标:封装好复杂易出错的关键业务; 用处:统一命名服务、域名服务、分布式同步、状态同步服务、集群管理等 二、漏洞原因  &ems;默认安装配置完的zookeeper允许授权访问,管理员配置访问控制列表(ACL)。导致攻击者可以在默认开放的2181
Apache Zookeeper 授权访问漏洞【原理扫描】
萌兔兔MMQ!!
11-25 1万+
漏洞名称 Apache Zookeeper 授权访问漏洞【原理扫描】风险等级 高高可利用 否CVE编号 -端口(服务) 2181(zookeeper)风险描述 ZooKeeper是一个高性能的分布式数据一致性解决方案,它将复杂的,容易出错的分布式一致性服务封装起来,构成一个高效可靠的原语集,并提供一系列简单易用的接口给客户使用。ZooKeeper默认开启在2181端口,在进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。
[2021]Zookeeper getAcl命令授权访问漏洞概述与解决
NBA首席形象大使坤坤
04-07 2215
今天在漏洞扫描的时候蹦出来一个zookeeper漏洞问题,即使是非zookeeper的节点,或者是非集群内部节点,也可以通过nc扫描2181端口,获取极多的zk信息。关于漏洞的详细描述参考apache zookeeper官方概述:CVE-2018-8012: Apache ZooKeeper Quorum Peer mutual authentication 漏洞演示: 这是一个CDP集群,里面有三个物理节点,每个节点各自有一个zk实例,注意看IP。 另开一台非集群节点的连接,使用echo conf
zookeeper授权访问修复建议
07-14
zookeeper授权访问修复建议
zookeeper授权访问漏洞处理
热门推荐
weixin_50016127的博客
06-27 1万+
zookeeper授权访问漏洞处理
修复zookeeper授权访问漏洞
qq_28392947的博客
01-12 1497
【代码】修复zookeeper授权访问漏洞
Zookeeper授权访问漏洞修复
码农养家
09-18 636
Zookeeper授权访问漏洞修复
ZooKeeper 授权访问漏洞处理方法
08-31
ZooKeeper 授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
Zookeeper授权访问测试问题
09-29
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。这篇文章主要介绍了Zookeeper授权访问测试,需要的朋友可以参考下
分布式锁与ZooKeeper的探索之旅
无远弗届
05-27 1209
ZooKeeper的核心是一个简单的数据模型,它由一系列被称为ZNode的节点组成,这些节点按照层次结构组织,类似于文件系统的目录结构。每个ZNode可以存储数据和子节点,并且具有版本号,确保了数据的一致性和顺序性。分布式锁是一种在分布式系统中用于确保多个进程对共享资源的互斥访问的机制。在分布式系统中,不同的服务和应用可能需要访问同一资源,而分布式锁确保在任何给定时间只有一个服务或应用能够进行访问,从而避免了资源冲突和数据不一致的问题。
Go 雪花算法生成唯一ID(Snowflake)&分布式
qq_39335595的博客
05-30 308
实例时,你需要为每个节点配置一个不同的工作节点ID。这个ID通常在节点启动时配置,并在节点的整个生命周期内保持不变。:尽管雪花算法是线程安全的,可以在同一节点内被多个 Goroutine 安全地调用,但不同节点之间不应该共享同一个。:每个节点(或服务实例)都应该有一个唯一的工作节点ID(worker ID)。在使用 Go 语言实现的雪花算法(Snowflake)时,每个分布式系统中的节点通常都会有一个独立的。实例,并为其分配一个唯一的工作节点ID。实例会根据节点的配置生成唯一的ID。
LNMP分布式搭建
最新发布
qq_63139605的博客
05-30 848
yum -y remove mysql57-community-release-el7-10.noarch #--卸载mysql自动更新。nginx -v #--查看nginx版本。yum install nginx -y #--安装nginx。useradd -M -s /sbin/nologin php #--创建php用户。#--安装mysql。
文章解读与仿真程序复现思路——电力系统自动化EI\CSCD\北大核心《基于优先指数的配电网分布式储能序次规划》
LIANG674027206的博客
05-29 640
提出一种基于优先指数的分布式储能序次规划方法,以指导储能的优化配置和有序接入,解决电网规划过程中实际网架结构不明确和DESS功能复合性强但规划场景单一的问题。电网论文源程序擅长文章解读,论文与完整源程序,等方面的知识,电网论文源程序关注python,机器学习,计算机视觉,深度学习,神经网络,数据挖掘领域.电网论文源程序擅长文章解读,论文与完整源程序,等方面的知识,电网论文源程序关注python,机器学习,计算机视觉,深度学习,神经网络,数据挖掘领域.论文与完整源程序_电网论文源程序的博客-CSDN博客。
zookeeper授权访问漏洞
05-01
Zookeeper是一个开源的分布式协调服务,它主要用于分布式系统中的配置管理、命名服务、同步服务和集群控制等方面。然而,在使用Zookeeper时,存在一个授权访问漏洞。这个漏洞可以让攻击者通过授权的方式获取Zookeeper的敏感信息,从而导致系统的失效和安全性问题。 当攻击者利用这个漏洞时,他们可以轻松地访问Zookeeper节点和数据,而不需要任何授权和认证。这意味着攻击者可以轻松地查看节点上的数据、更改配置和控制集群,甚至可以对节点执行恶意操作,从而导致系统完全失效。 为了避免这个漏洞对系统造成的影响,我们需要采取一系列措施来保护Zookeeper。首先,我们需要设置Zookeeper访问控制,通过用户名和密码来限制对节点的访问。其次,我们需要对节点进行加密,确保敏感信息不被泄露。最后,我们需要确保Zookeeper的软件版本是最新的,并且及时修补漏洞。 总之,Zookeeper授权访问漏洞是一个存在风险的漏洞,需要我们重视。我们需要采取多重措施来保护Zookeeper节点的安全,防止攻击者利用漏洞造成的损失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值