kali验证Zookeeper未授权访问测试

最新推荐文章于 2024-08-04 11:09:02 发布
最新推荐文章于 2024-08-04 11:09:02 发布
阅读量1k 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44281516/article/details/105796969
版权
本文介绍了如何在Kali Linux中利用nmap扫描Zookeeper服务,并通过zkCli.sh客户端进行未授权访问测试。内容包括conf、cons、dump和envi等命令的使用,以及发现的安全隐患。针对这些问题,提出了设置防火墙策略限制IP访问、避免外网暴露Zookeeper服务和启用用户认证与ACL等防护措施。
摘要由CSDN通过智能技术生成

首先nmap扫描一波

root@kali:~# nmap -Pn -p 2181 xx.xx.xx.xx

conf命令:输出相关服务配置的详细信息,端口、数据路径、日志路径、session 超时时间,最大连接数等。

root@kali:~# echo conf | nc xx.xx.xx.xx 2181

cons命令:列出所有连接到当前服务器的客户端/会话的详细信息。

root@kali:~# echo cons | nc xx.xx.xx.xx 2181 | more

dump命令:输出未处理的会话和临时节点,leader 节点有效。

root@kali:~# echo dump | nc xx.xx.xx.xx 2181 | more

非 leader 节点看不到什么相关信息。
envi命令:输出服务器的详细信息。

root@kali:~# echo envi | nc xx.xx.xx.xx 2181

连接测试

最低0.47元/天 解锁文章
LJ会发光
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zookeeperzookeeper的命令行操作zkCli.sh
九师兄
07-27 2221
在 bin 目录下的 zkCli.sh 就是ZooKeeper客户端 1.本机模式 cc@lcc zookeeper-3.4.12$ bin/zkCli.sh Connecting to localhost:2181 2018-07-27 15:27:34,021 [myid:] - INFO [main:Environment@100] - Client environment:z...
Zookeeper授权访问测试问题
09-29
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。这篇文章主要介绍了Zookeeper授权访问测试,需要的朋友可以参考下
Zookeeper授权访问漏洞
最新发布
weixin_53736204的博客
08-04 388
Zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。Zookeeper的默认开放端口是 2181。Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:ki命令)。攻击者能够执行所有只允许由管理员运行的命令。
Kafka集群之-ZooKeeper授权访问漏洞修复
weixin_39863120的博客
07-01 1114
配置 ZooKeeper 的配置文件,修改 文件,添加以下内容: 二、创建 JAAS 文件 在 ZooKeeper 的安装目录下的 目录中创建 文件,并编辑内容如下: 的含义是 ,添加一个用户名为 ,密码为 的认证用户,用户名和密码可以自行定义。因为如果要连接 ZooKeeper 是需要通过 SASL 认证的,所以需要配置环境变量,这里的环境变量主要是使用 文件中的 配置,会在连接时使用用户名和密码。 四、重启 ZooKeeper 服务 重启 ZooKeeper 服务,正常启动一般便无问题。
zookeeper授权访问修复建议
萌兔兔MMQ!!
11-21 2060
setAcl /path auth:用户名:密码明文:权限。addauth digest 用户名:密码明文。为ZooKeeper配置相应的访问权限。1)增加一个认证用户。
linux,kali搭建zookeeper教程
weixin_48465105的博客
12-29 1738
linux,kali搭建zookeeper 注意:确保环境有JDK,java -version查看 zookeeper下载网址 https://dlcdn.apache.org/zookeeper/ 选择版本(一定要选bin的,否则缺少jar) 1.复制链接直接wget 链接,或者自己上传进linux 2.tar -zxvf 压缩包 3.修改名字为zookeeper方便后面 mv 解压后文件夹名字 zookeeper cd zookeeper/conf 4.修改文件名并修改文件内容 mv zoo_sam
Zookeeper授权访问利用
cj_Hydra's Blog
08-05 4599
前言: ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 Zookeeper 的默认开放端口是2181。Zookeeper 安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用 Zookeeper,通过服务器收集敏感信息或者在 Zookeeper 集群内进行破坏(比如:kill命令)。攻击者能够执
Kali Linux密码破解与访问控制
Kali与编程
02-25 1190
通过密码破解和弱口令检测,可以及时发现和修复使用弱密码或易受猜测的密码的账户,从而提高系统和应用程序的安全性。这些工具基于暴力破解技术,尝试使用各种可能的密码组合,直到找到匹配的密码。综上所述,Kali Linux提供了密码破解和数据包嗅探与分析的工具和技术,用于评估系统和网络的安全性。举个例子,我们可以使用Tcpdump来捕获特定IP地址之间的流量,并检查传输的数据,以便发现潜在的安全问题。它提供了多种模块和脚本,用于利用操作系统和应用程序中的漏洞,绕过访问控制机制,以获取授权访问权限或提升权限。
6. Web安全—渗透测试用例—授权访问漏洞
weixin_43567873的博客
03-21 55
6. Web安全—渗透测试用例—授权访问漏洞
授权访问漏洞笔记
m0_47599604的博客
04-05 1608
授权访问 介绍 授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 B/S架构中 一般存在后台界面中,访问特定目录下的敏感文件,能直接跳过管理员登录,去访问后台管理内容。 C/S架构中 一般存在默认安装的一些客户端应用程序中,安装人员因缺少安全意识导致攻击者利用。 数据库...
二十八种授权访问漏洞合集(暂时最全)
墨痕诉清风的博客
01-04 4724
目录 0x01 授权漏洞预览 0x02 Active MQ 授权访问 0x03 Atlassian Crowd 授权访问 0x04 CouchDB 授权访问 0x05 Docker 授权访问 0x06 Dubbo 授权访问 0x07 Druid 授权访问 0x08 Elasticsearch 授权访问 0x09 FTP 授权访问 0x10 HadoopYARN 授权访问 0x11 JBoss 授权访问 0x12 Jenkins 授权访问 0x13 Jupyt
Zookeeper学习: ZooKeeper命令行操作
小松de博客
10-28 4087
1. 进入命令行 2. 创建节点 3. 读取节点 4. 更新节点 5. 删除节点 使用delete命令可以删除Zookeeper上的指定节点,语法如下: delete path [version] 其中 version 表示数据版本,使用delete /zk-permanent 命令即可删除/zk-permanent节点 可以看到,已经成功删除/zk-permanent节点。值得注意的是,若删除节点存在子节点,那么无法删除该节点,必须先删除子节点,再删除父节点 ...
zookeeper系列(四)zkCli.sh客户端命令介绍
zifanyou的博客
12-06 1221
目录   1.连接服务器 2. help 命令 3. addauth scheme auth 鉴权 4. ls path 查看目录 5. stat path 获取节点的状态信息 6. get path 获取内容 7. ls2 path 是ls 和 stat两个命令的结合 8.create [-s] [-e] path data acl 创建节点 9. delete path [...
Zookeeper入门到实战 (四):Zookeeper常用命令
不吃姜的博客
07-05 996
Zookeeper入门到实战 (二) : Centos7下安装Zookeeper-3.7.0(单机模式和集群模式)中,笔者演示了如何搭建Zookeeper单机或集群,在Zookeeper入门到实战(三) :Zookeeper的节点类型和监听机制中,笔者介绍了Zookeeper的节点类型和监听机制,那么本文就一起看一下Zookeeper的基本操作 1.Zookeeper命令行操作 zookeeper提供了客户端zkCli.sh(linux平台)或zkCli.cmd(windows平台)来对zookeep.
ZooKeeper授权访问漏洞确认与修复
sdujava2011
02-27 3595
Zookeeper授权访问漏洞确认与修复
zookeeper授权漏洞实战+复现
我的博客
05-12 8036
测试授权目标时,通过工具扫描出了zookeeper授权(CVE-2014-085) 之后就是进行漏洞利用 由于目标系统较敏感,没有执行其它操作,所以准备本地复现 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,安装zookeeper后 默认端口为2181 这个为配置文件 直接进行漏洞利用 echo envi |nc xxxxx 2181 直接输出目标服务器环境信息,非常详细 os名称 版本 服务器名称 版本...
Redis授权访问漏洞
m0_64769218的博客
09-24 335
Redis 是非关系型数据库系统,没有库表列的逻辑结构,仅仅以键值对的方式存储数据。Redis 数据库经常用于Web 应用的缓存。Redis 可以与文件系统进行交互。Redis 监听TCP/6379。
实战指南:利用Kali Linux进行渗透测试
逐步引导读者从安装和配置到每个阶段的具体工具使用,直至报告编写和规则制定,全面展示了如何利用Kali Linux进行黑客攻击,但请注意,这里的“黑客”一词并非用于非法活动,而是指在授权许可下的渗透测试专业人员。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值