Hadoop YARN ResourceManager 未授权访问漏洞复现

最新推荐文章于 2024-08-13 18:54:13 发布
最新推荐文章于 2024-08-13 18:54:13 发布
阅读量1.8k 收藏
点赞数 1
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuandao_ahfengren/article/details/111681627
版权
本文介绍了Hadoop YARN的资源管理器存在未授权访问漏洞,详细阐述了漏洞概述,受影响范围,环境搭建步骤,以及如何复现此漏洞。同时,给出了修复建议,提醒用户升级到安全版本以防止潜在风险。
摘要由CSDN通过智能技术生成

简介

Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARN是hadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。

 

漏洞概述

YARN提供有默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当,REST API将会开放在公网导致未授权访问的问题,那么任何黑客则就均可利用其进行远程命令执行,从而进行挖矿等行为。

 

受影响范围:

Apache Hadoop YARN资源管理系统

 

环境搭建

进入目录

cd vulhub-master/hadoop/unauthorized-yarn

启动环境

docker-compose up -d

最低0.47元/天 解锁文章
玄道网安
关注
专栏目录
[ vulhub漏洞复现篇 ] Hadoop-yarn-RPC 授权访问漏洞复现
qq_51577576的博客
09-03 1541
[ vulhub漏洞复现篇 ] Hadoop-yarn-RPC授权访问漏洞复现 Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。...
记录一次vulhub:hadoop yarn ResourceManager 页面授权访问(含命令执行)漏洞复现
sszsNo1的博客
06-27 737
vulhub:hadoop yarn ResourceManager 页面授权访问(含命令执行)漏洞复现
Hadoop YARN ResourceManager 授权访问getshell
09-23
利用Hadoop YARN ResourceManager 授权访问getshell工具以及WORD说明
5大数据库授权访问漏洞深度剖析【黑客最爱的‘甜点‘】
2301_80064376的博客
08-13 1100
当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。靶场Hadoop YARN ResourceManager 授权访问漏洞是一个严重的安全隐患,它潜伏在许多经正确配置的 Hadoop 集群中。这个漏洞的核心问题在于 YARNResourceManager 组件在默认情况下可能没有启用适当的访问控制机制。
Hadoop YARN ResourceManager 授权访问
OOOOOK的博客
07-03 1621
Hadoop YARN ResourceManager 授权访问漏洞原理及复现
Hadoop-授权访问漏洞复现
weixin_43071873的博客
11-18 1697
漏洞介绍: Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。 漏洞复现: 使用vulhub搭建靶场 搭建完进入镜像,成功搭建 进入靶场。靶机ip:8088 exp如下: ##!/usr/bin/env python import requests import sys targe
复现 Hadoop YARN ResourceManager 授权访问
weixin_52766206的博客
08-09 2244
复现 Hadoop YARN ResourceManager 授权访问,更多的是用来练习和熟悉漏洞的,就没安装到太复杂的环境,直接在kali里完成的。
Hadoop-yarn-授权访问漏洞复现(vulhub)
weixin_43061533的博客
12-15 7192
0x01 漏洞简述 Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。 HDFS是一个分布式文件系统,具有高容错性的特点,并且被设计用来部署在廉价的硬件上;而且它能够以高吞吐量来访问应用程序的数据,尤其适合那些有着超大数据集的应用程序。MapReduce是一个使用简易的软件框架,基...
Hadoop YARN ResourceManager 授权访问复现
carrot11223的博客
12-23 437
hadoop授权访问getshell
Hadoop_unauthorized-yarn
qq_56895581的博客
05-19 796
由于服务器的配置不当开放了HFDS的50070及相关服务端口,导致攻击者可以利用命令行直接操作多个目录下的数据(删除、下载、甚至命令执行)
Hadoop-yarn-unauthorized 授权访问漏洞
最新发布
weixin_68177269的博客
08-13 368
Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 MapReduce 算法进行分布式处理,YarnHadoop集群的资源管理系统。YARN提供有默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当可导致授权访问的问题,攻击者无需认证即可通过REST API部署任务来执行任意指令,最终完全控制服务器。靶场启动完成后,使用nmap扫描本机开放的端口,发现已经开启8088(yarn资源管理系统)
vulhub漏洞复现-Hadoop YARN授权访问
遇事不决冲冲冲
10-29 3886
Hadoop Hadoop就是存储海量数据和分析海量数据的工具。Hadoop到底是干什么用的? 思路 由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,攻击者可以通过 hdsf 提供的 restful api 对 hdfs 存储数据进行操作,如进行删除,下载,目录浏览甚至命令执行等,总体的操作思路是 在本地监听等待反弹 shell 连接 调用 New Application API 创建 Application 调用 Submit Application
Hadoop-yarn-授权访问漏洞
qq_42735101的博客
06-26 2132
Hadoop是由Apache基金会所开发的分布式系统基础架构,由于服务器直接开放了Hadoop的某些端口而造成了漏洞。本文是docker中的Hadoop-yarn-授权访问漏洞复现
利用Vulnhub复现漏洞 - Hadoop YARN ResourceManager 授权访问
JiangBuLiu的博客
07-09 2484
Hadoop YARN ResourceManager 授权访问Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现EXP Vulnhub官方复现教程 https://vulhub.org/#/environments/hadoop/unauthorized-yarn/ 漏洞原理 http://archive.hack.lu/2016/Wavestone - Hack.lu 2016 - ...
Hadoop YARN ResourceManager授权访问漏洞
Kevin's Blog
06-01 5226
文章目录一、介绍1.1 简介1.2 漏洞成因二、模拟环境三、信息收集四、攻击方法五、漏洞防御 一、介绍 1.1 简介   Hadoop作为一个分布式计算应用程序框架,种类功能繁多,各种组件安全问题会带来很大的攻击面。   Apache Hadoop YARNHadoop的核心组件之一,负责将资源分配在Hadoop集群中运行的各种应用程序,并调度要在不同集群节点上执行的任务。(独立出的资源管理框架,负责资源管理和调度) 1.2 漏洞成因   负责对资源进行同一管理调度的ReasourceManager组件的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值