ELK在渗透测试中的利用与安全配置解析

最新推荐文章于 2023-07-10 12:31:33 发布
VIP文章 最新推荐文章于 2023-07-10 12:31:33 发布
阅读量1.3k 收藏 3
点赞数
文章标签: 数据库 java linux 大数据 nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/115743925
版权

文章来源|MS08067 公众号读者投稿

本文作者:VastSky(Ms08067实验室读者)

  通过此文章,我将提供有关ELK攻击利用与安全防护的知识。关于利用ELK 的信息在网上非常罕见。因此,这篇文章只是本人在日常工作和学习中的个人笔记,虽不完善,但可作为学习参考。通过这篇文章希望能为你提供一些在渗透测试期间可能有用的方法。

背景

 ELK描述了一个包含三个开源项目的集合:Elasticsearch,Logstash和Kibana。Elasticsearch存储数据并提供快速搜索引擎。Kibana是一个图形界面,允许对Elasticsearch中存储的数据进行分析和可视化。Logstash用于收集从不同来源的数据并将其保存到Elasticsearch中。

重要配置文件

  • Elasticsearch配置:/etc/elasticsearch/elasticsearch.yml

  • Logstash配置:

  • /etc/logstash/logstash.yml

  • /etc/logstash/pipelines.yml

  • /etc/logstash/conf.d/*

  • Filebeat配置:/etc/filebeat/filebeat.yml

  • Kibana配置:/etc/kibana/kibana.yml

在渗透测试中配置文件中总是有可能包含用户凭证,所以总是值得一看的。

Elasticsearch未授权访问的检测与利用

  ElasticSearch 是一款Java编写的企业级搜索服务,启动此服务默认会开放9200端口,可被非法操作数据。

 

检测是否存在未授权访问

默认情况下,并不总是启用身份验证。可以访问所有存储的数据

HTTP协议访问默认端口端口 9200

返回内容中包含”You Know, for Search”存在未授权访问。如果9200无法访问,说明开发者已经将默认端口更改

通过访问我们得到数据库版本:

curl -X GET"localhost:9200/"
{
  "name" : "userver",
  "cluster_name" :"elasticsearch",
  "cluster_uuid" : "lZNH15okQPWfNHp-Aks0OQ",
  "version" : {
    "number" : "7.9.3",
    "build_flavor" :"default",
    "build_type" : "deb",
    "build_hash" :"c4138e51121ef06a6404866cddc601906fe5c868",
    "build_date" : "2021-03-26T10:36:16.141335Z",
    "build_snapshot" : false,
最低0.47元/天 解锁文章
Ms08067安全实验室
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漫谈ELK大数据运维的应用
02-26
圈子里关于大数据、云计算相关文章和讨论是越来越多,愈演愈烈。行业内企业也争前恐后,群雄逐鹿。而在大数据时代的运维挑站问题也就日渐突出,任重而道远了。...所以只有在海量分布式日志系统有效的
ElasticSearch设置用户名密码访问
mengo的博客
03-17 8158
1, 启动trial license(30天试用) curl -H "Content-Type:application/json" -XPOST http://127.0.0.1:19200/_xpack/license/start_trial?acknowledge=<span class="hljs-literal">true 2,设置用户名和密码 bin/elas...
{"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication token for REST
热门推荐
qq_33286695的博客
12-13 3万+
错误如下: {"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication token for REST request [/idx]","header":{"WWW-Authenticate":"Basic realm=\&quo
elasticsearch x-pack启用及破解
wkNote
10-30 1万+
声明:此教程只用于学习,如有商业用途请购买收费版。 elasticsearch版本6.4.2 启用x-apck 安装elasticsearch后启动服务。 [2018-10-29T19:07:09,614][INFO ][o.e.t.TransportService ] [es-wk-node-1] publish_address {127.0.0.1:19300}, bound_addres...
Elasticsearch 重新激活 遇见的错误解决
qq_37921030的博客
12-19 4473
基本的操作可以看看这个老哥的: https://www.cnblogs.com/cangyuefeng/p/10337293.html 很详细了。 然而我写这个的目的是因为自己遇到了一个奇怪的bug。 当我按下这个命令去重新激活 sudo curl -XPOST -u elastic http://ip:port/_license/start_basic?acknowledge=true -H “Content-Type: application/json” -d @license.json Enter h
甲方安全看日志消息在ELK的流转.pdf
09-11
甲方安全看日志消息在ELK的流转 安全架构 安全防御 信息安全 应用安全 培训与认证
ELK在Spark集群的应用
02-25
大数据处理技术越来越火,云计算平台也如火如荼,二者犹如IT列车的两个车轮,相辅相成,高速发展。...目前,日志分析工具多达数十种,其应用较多的有Splunk、ELK、AWStats、Graphite、LogAnalyzer、Rsyslo
missing authentication credentials for REST request [/]“
雅冰石的专栏
10-20 4298
一 问题描述 [root@risen-un01 bin]# ./elasticdump --input=http://192.168.5.249:9200/sentiment_latest --output=http://192.168.5.31:9200/ads_yq_sentiment_app --type=data 报错: Wed, 04 Aug 2021 03:03:30 GMT | Error Emitted => {"error":{"root_cause":[{"type":"s..
渗透测试z常见端口渗透总结
hackzkaq的博客
11-11 661
在前段时间的渗透,我发现通过端口来进行渗透有时会提升我们的效率, 端口渗透过程我们需要关注几个问题...
ElasticSearch 实践过程遇到的几个小问题
hellozhxy的博客
01-25 2万+
ulimit “不生效” 有一台机器的在启动 ES 的时候始终报错 1 max file descriptors [65000] for elasticsearch process is too low 但是我已经在/etc/security/limits.conf里增加了如下配置, 1 2 3 4 ela...
missing authentication credentials for REST request
一条大河
11-16 2万+
ES curl请求报错: curl -X GET "localhost:9200/megacorp/employee/_search?q=last_name:Smith&pretty" { "error" : { "root_cause" : [ { "type" : "security_exception", "reason" : "missing authentication credentials for REST request [
ElasticSearch常用配置(内置账号密码修改、自定义角色自定义账号,日志定期删除等)
qianghong000的博客
01-15 1517
# 自定义内置账号 * 账户elastic为elasticsearch超级管理员,拥有所有权限 * 账户kibana用于kibana组件获取相关信息用于web展示 * 账户logstash_system用于logstash服务获取elasticsearch的监控数据 * 注意:此步骤需先启动elasticsearch服务 ``` [elasticsearch@elasticsearch elas...
Elasticsearch添加密码验证后、并且使用于构建和使用API的API平台访问带密码的es方案
社畜程序员的无聊博客
08-26 1966
es开启了加密验证之后,通过http请求orhttps会出现如下报错
Web安全——渗透测试基础知识下
钟言的博客
07-10 1753
本篇介绍了Web安全关于渗透知识的下篇,其包含了: VMware虚拟机学习使用 1、虚拟机简单介绍 2、网络模式 2.1 桥接网络 (Bridged Networking)2.2 NAT模式 2.3 Host-Only模式 3、通俗理解 二、Kali的2021安装与配置 1、简单介绍 2、Kali的版本 3、配置 3.1 安装虚拟机open-vm-tools-desktop模块 3.2 设置文 3.3 安装python3的pip 3.4 更新源 2、ascii编码 3、HTML编码 4、URL编码等等
【异常】ES报错ElasticsearchStatusException:missing authentication credentials for REST request
本本本添哥
03-21 5149
使用Flink输出(sink)到Elasticsearch时,出现了上面的错误,是因为登录到ES,ES启用了账号密码的模式,因此必须要使用账号密码才能够访问它。
Elasticsearch遇到的坑
小强签名设计 的博客
09-11 2万+
问题描述: 手机APP端两个用户同时评论一篇文章该篇文章的评论量只增加了1。 &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;nbsp; 问题代码: XContentBuilder updateSource = XContentFactory.jsonBuilder().startObject() .field(&amp;amp;amp;amp;amp;amp;amp;amp;amp;am
ES数据库查询报错 field:[10400001] was indexed without position data; cannot run PhraseQuery“
后端开发
03-27 2756
1.问题描述: es组合查询时报错 报错信息: { "error": { "root_cause": [ { "type": "query_shard_exception", "reason": "failed to create query: field:[10400001] was indexed without position data; cannot run PhraseQuery", "index_uuid": "tfDF
python许可证过期_x-pack许可证过期问题解决
weixin_39816141的博客
12-13 1575
原来安装一套elk日志系统,其es和kibana用到x-pack插件,安装后可以免费试用一个月。一个月后需要许可证,一旦许可证过期将无法使用其一些功能这一点官网有介绍:错误类型状态如下[root@xjjh-test1 ~]curl -u elastic:changeme '192.168.6.121:9200/_cat/indices?v'{"error":{"root_cause":[{"t...
ELK 在ADAS是什么
最新发布
04-12
根据提供的引用内容,ELK在ADAS代表Elasticsearch、Logstash和Kibana。ELK是一套用于日志管理和分析的开源工具组合,常用于处理ADAS系统产生的大量日志数据。 Elasticsearch是一个分布式的搜索和分析引擎,用于存储和索引大量的日志数据。它提供了强大的搜索和聚合功能,可以快速地查询和分析日志数据。 Logstash是一个用于收集、处理和转发日志数据的工具。它可以从各种来源(如文件、网络、消息队列等)收集日志数据,并对数据进行过滤、解析和转换,然后将其发送到Elasticsearch进行存储和索引。 Kibana是一个用于可视化和分析日志数据的工具。它提供了直观的用户界面,可以创建各种类型的图表、仪表盘和报表,帮助用户更好地理解和分析日志数据。 通过使用ELK,ADAS系统可以将大量的日志数据集存储、索引和分析,从而实现对系统运行状态、故障和性能的监控和分析。这有助于提高系统的稳定性、可靠性和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值