zookeeper 未授权访问_Zookeeper未授权访问检测与修复

最新推荐文章于 2024-06-06 17:55:16 发布
最新推荐文章于 2024-06-06 17:55:16 发布
阅读量3.4k 收藏 3
点赞数 1
文章标签: zookeeper 未授权访问 zookeeper未授权访问

之前遇到zookeeper未授权访问问题,网上查到的资料基本都是关于限制匿名访问的解决方法,没有找到解决信息泄露的问题,最后查阅官方文档才解决,故此分享一下。

漏洞描述: 该漏洞非软件配置导致的,必须打补丁或升级版本才可解决,利用漏洞 可收集目标服务器环境等敏感信息,或者破坏zookeeper集群。

受影响范围:

ZooKeeper 3.4.10 之前版本受影响

ZooKeeper 3.5.0-alpha 至 3.5.3-beta受影响

ZooKeeper 1.x 至 3.3.x 也可能受影响

漏洞检测: echo envi | nc IP 端口(默认端口2181) 存在漏洞如下图:

6d869fcdd0cf5b55bfa828f0a6c1ecf0.png

其他命令:

命令

功能描述

conf

输出相关服务配置的详细信息。

cons

列出所有连接到服务器的客户端的完全的连接 / 会话的详细信息。包括“接受 / 发送”的包数量、
最低0.47元/天 解锁文章
weixin_39569389
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Zookeeper授权访问漏洞修复
码农养家
09-18 705
Zookeeper授权访问漏洞修复
ZooKeeper 授权访问漏洞处理方法
08-31
ZooKeeper 授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
zookeeper授权访问修复建议
07-14
zookeeper授权访问修复建议
存在 ZooKeeper 授权访问【原理扫描】--通过防火墙策略进行修复
最新发布
qyq88888的专栏
06-06 502
ELK集群存在 ZooKeeper 授权访问【原理扫描】
授权和敏感文件泄露
Fiverya的博客
02-03 1234
常见授权和敏感文件泄露漏洞
zookeeper授权访问(CVE-2014-0085)漏洞修复建议
THZLYXX的博客
01-24 3331
xxxx为需要设置的四字命令,添加多命令请使用逗号进行隔开,请根据系统所需进行命令设置,请勿添加envi命令,如系统有使用此命令的需求请使用其他修复方法。1.进入zookeeper目录找到zoo.cfg文件,常见路径为/opt/zookeeper-3.4.13/conf/zoo.cfg。2.使用下面命令登录zookeeper命令中ip为容器ip如果直接安装在服务器上请使用服务器ip。2.使用vi编辑器打开zoo.cfg文件,在文件中添加四字命令白名单,添加命令如下。:访问(Access)
ZooKeeper【集群模式】
梦想是动物管理员
06-13 4726
ZooKeeper集群配置信息、选举机制以及群起脚本
Zookeeper授权访问测试问题
09-29
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。这篇文章主要介绍了Zookeeper授权访问测试,需要的朋友可以参考下
ZooKeeper通过ACL修复授权访问漏洞
05-06
ZooKeeper通过ACL修复授权访问漏洞,此文档适合学习
使用Zookeeper对集群节点进行管理
theVicTory的博客
05-19 3367
本文主要对Zookeeper的安装配置和命令行客户端的使用作了简单介绍,并对集群选举和数据写入原理进行了记录,从而简单地对zookeeper的使用有了直观上的认识。
ZooKeeper授权访问漏洞总结
qq_45746681的博客
10-05 4158
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、ZooKeeper授权访问漏洞?二、复现1.搭建环境2.检测方法POC编写 前言 总结下常见的授权漏洞 一、ZooKeeper授权访问漏洞? ZooKeeper是一个分布式的、开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。 它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper默认开
Apache Zookeeper授权访问漏洞
q80880117的博客
07-11 818
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)格式:setAcl 路径 ip:xxx.xxx.xxx.xx1:cdrwa,ip:xxx.xxx.xxx.xx2:cdrwa。例如:setAcl /zkaa ip:127.0.0.1:cdrwa,ip:10.111.134.6:cdrwa。注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。
zookeeper授权访问漏洞通过添加ip白名单处理
Sir.He的博客
09-23 2087
zookeeper如何设置ip白名单 简介: zookeeper授权访问漏洞,处理这个漏洞最简单,常用的应该就是给zookeeper添加用户名、密码验证,如果项目比较急,且代码不支持zookeeper的用户名、密码验证,那采用ip白名单过滤,无疑是最快、最有效的方法之一。 要求:zookeeper版本要求3.5以上白名单才支持设置ip地址段 一、 zookeeper设置ip白名单 1、进入zk的安装目录输入命令: cat /conf/zoo.conf 查看​​​​​zk的clientPort端口
Zookeeper基础常用操作以及ACL权限
qq_40874285的博客
08-14 1762
这次将Zookeeper的一些基础用法以及权限这块的都补充一下在这篇博客中。 上篇博客介绍了基于ZooKeeper实现的分布式锁,也介绍了一些ZooKeeper的节点类型以及监听机制,今天这里就不作过多的介绍了,大家也可以自行的去官方文档上看看更具体的介绍ZooKeeper官方链接 会话 会话(session)是zookepper非常重要的概念,客户端和服务端之间的任何交互操作都与会话有关, 客户端与服务端的一次会话连接,本质是TCP长连接,通过会话可以进行心跳检测和数据传输: 看下这图,Z.
如何快速上手 Zookeeper 授权漏洞
m0_46699477的博客
04-29 610
前言: Goby 是一款实时网络空间测绘工具,我尤其喜欢插件市场,它可以集成很多我们平时利用的小工具,不用再去烦恼的打开一个个文件夹。初次编写插件我选择从常见的授权漏洞里边找,发现 Zookeeper 授权漏洞的比较简单,利用方法只需要查看泄露的文件信息。 0x001 插件效果 1.1 插件使用 当扫描出 Zookeeper 授权漏洞后,会在漏洞相关⻚以及资产详情处显示"View按钮",点击即可展开该 Zookeeper 服务器的节点信息,在搜索框输入节点路径就可以查看该节点的数据。 0x00.
zookeeper 授权访问扫描脚本
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
10-25 854
# coding=utf-8 import socket def check(ip, port, timeout): try: socket.setdefaulttimeout(timeout) s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((ip, int(port))) flag = "envi" # envi # d
ZooKeeper信息泄露漏洞(CVE-2014-085)
热门推荐
Exploit的小站~
05-10 2万+
 研究ZooKeeper时顺便看到的,危害级别比较低,居然上了CVE,目测Apache有干爹照顾。 对于node的访问ZooKeeper提供了相应的权限控制,即使用访问控制列表ACL来进行实现。一个ACL只从属于一个特定的node,而对这个node的子节点是无效的,也就是不具有递归性。比如/app只能被10.10.10.1访问,/app/test为任何人都可以访问(world,anyon...
ZooKeeper 授权访问漏洞
0nc3的博客
12-16 1714
0x00 漏洞简介 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper默认开启在2181端口,在进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括...
ZooKeeper中server和节点的理解
岛田悠米
04-11 345
ZooKeeper集群,每个ZooKeeper管理一个Server,其中只有一个Leader,其他都是Follower。 每个ZooKeeper都有n个节点。 只有ZooKeeper的数量大于一半时,集群才能正确运行,也就是说至少要有三台ZooKeeper
zookeeper授权访问漏洞
05-01
然而,在使用Zookeeper时,存在一个授权访问漏洞。这个漏洞可以让攻击者通过授权的方式获取Zookeeper的敏感信息,从而导致系统的失效和安全性问题。 当攻击者利用这个漏洞时,他们可以轻松地访问Zookeeper...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值