ZooKeeper未授权访问漏洞记录(影响范围:全版本,端口:2181)

已于 2022-08-26 10:09:20 修改
阅读量4.2k 收藏 7
点赞数 2
分类专栏: 渗透常识研究 文章标签: java-zookeeper zookeeper java
于 2020-11-18 14:15:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/109772577
版权
本文介绍了ZooKeeper的未授权访问漏洞,该漏洞允许攻击者通过默认端口2181获取系统敏感信息。内容涵盖漏洞简介、环境搭建、漏洞证明、漏洞利用方法(如envi命令)以及防御措施,包括修改端口、设置访问控制和认证配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞简介

  • ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。
  • ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。

环境搭建

测试机:Kali
靶机:Ubuntu
版本:zookeeper-3.4.14

安装命令如下:

mwget http://archive.apache.org/dist/zookeeper/zookeeper-3.4.14/zookeeper-3.4.14.tar.gz
tar -xzvf zookeeper-3.4.14.tar.gz 
cd zookeeper-3.4.14/conf
mv zoo_sample.cfg zoo.cfg
../bin/zkServer.sh start # 启动

了解本专栏 订阅专栏 解锁全文
web渗透测试漏洞复现:ZooKeeper未授权漏洞复现
HACKONE的博客
03-30 1712
ZooKeeper 是一个分布式的、开源的协调服务,最初由雅虎开发,现隶属于 Apache 软件基金会,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件,旨在为大型分布式系统提供一致性的服务。ZooKeeper 的设计目的是简化分布式应用程序的开发和维护,它通过提供一组简单易用的原语和数据模型,为分布式系统中的进程提供协作服务。
二十八种未授权访问漏洞合集(暂时最
墨痕诉清风的博客
01-04 5240
目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 0x06 Dubbo 未授权访问 0x07 Druid 未授权访问 0x08 Elasticsearch 未授权访问 0x09 FTP 未授权访问 0x10 HadoopYARN 未授权访问 0x11 JBoss 未授权访问 0x12 Jenkins 未授权访问 0x13 Jupyt
未授权访问ZooKeeper 未授权访问漏洞
qq_68163788的博客
05-15 4404
zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。 Zookeeper的默认开放端口2181Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。
ZooKeeper 未授权访问漏洞
0nc3的博客
12-16 1809
0x00 漏洞简介 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括...
分布式中间件:Zookeeper 入门
最新发布
weixin_55987175的博客
03-21 745
在分布式系统的开发中,协调服务是至关重要的。Zookeeper 作为一个高性能的分布式协调服务,为分布式应用提供了一致性服务,如配置管理、命名服务、分布式锁等。本文将带你快速入门 Zookeeper,从环境搭建到 Java 代码集成,让你对 Zookeeper 有一个初步的了解。
Zookeeper未授权访问漏洞
weixin_53736204的博客
08-04 826
Zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。Zookeeper的默认开放端口2181Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:ki命令)。攻击者能够执行所有只允许由管理员运行的命令。
zookeeper未授权访问漏洞解决办法
01-17
### 如何修复ZooKeeper未经授权的访问漏洞 为了防止ZooKeeper出现未经授权的访问,采取一系列的安措施至关重要。这些措施不仅限于调整配置参数,还涉及整体环境的安增强。 #### 配置ACLs控制访问权限 通过...
zookeeper 未授权访问漏洞
01-21
### ZooKeeper未授权访问漏洞概述 ZooKeeper是一款分布式协调服务,广泛用于构建可靠的分布式应用程序。然而,在配置不当的情况下,可能会暴露出未授权访问的安风险[^1]。 当ZooKeeper实例对外暴露且没有...
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
zookeeper未授权访问漏洞处理
热门推荐
weixin_50016127的博客
06-27 1万+
zookeeper未授权访问漏洞处理
ZooKeeper未授权访问漏洞确认与修复
sdujava2011
02-27 4045
Zookeeper未授权访问漏洞确认与修复
ZooKeeper未授权访问漏洞总结
qq_45746681的博客
10-05 4487
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、ZooKeeper未授权访问漏洞?二、复现1.搭建环境2.检测方法POC编写 前言 总结下常见的未授权漏洞 一、ZooKeeper未授权访问漏洞ZooKeeper是一个分布式的、开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。 它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper默认开
Apache Zookeeper未授权访问漏洞
q80880117的博客
07-11 1024
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)格式:setAcl 路径 ip:xxx.xxx.xxx.xx1:cdrwa,ip:xxx.xxx.xxx.xx2:cdrwa。例如:setAcl /zkaa ip:127.0.0.1:cdrwa,ip:10.111.134.6:cdrwa。注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值