IT评测·应用市场-qidao123.com
标题:
未授权访问:ZooKeeper 未授权访问漏洞
[打印本页]
作者:
尚未崩坏
时间:
2024-7-27 11:07
标题:
未授权访问:ZooKeeper 未授权访问漏洞
目录
1、漏洞原理
2、情况搭建
3、未授权访问
防御本领
本日继续学习各种未授权访问的知识和相关的实操实行,一共有好多篇,内容主要是参考先知社区的一位大佬的关于未授权访问的好文章,另有其他大佬总结好的文章:
这里附上大佬的好文章链接:常见未授权访问漏洞总结 - 先知社区
我在这只是学习大佬总结好的相关的知识和实操实行,那么废话不多说,开整。
第八篇是关于ZooKeeper的未授权访问
1、漏洞原理
zookeeper是
分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。
Zookeeper的默认开放端口是2181。
Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程使用Zookeeper,通过服务器收集敏感信息大概在Zookeeper集群内举行破坏(比如:kill下令)。
攻击者能够实行全部只允许由管理员运行的下令。
2、情况搭建
#搭建环境
wget https://archive.apache.org/dist/zookeeper/zookeeper-3.4.14/zookeeper-3.4.14.tar.gz
tar -xzvf zookeeper-3.4.14.tar.gz
cd zookeeper-3.4.14/conf
mv zoo_sample.cfg zoo.cfg
../bin/zkServer.sh start # 启动
复制代码
启动Zookeeper
3、未授权访问
#获取该服务器的环境
echo envi|nc 192.168.159.202 2181
复制代码
可以看到成功的访问到了
使用zookeeper可视化管理工具举行毗连
下载地址:https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip
可以看到成功的毗连了
防御本领
修改 ZooKeeper 默认端口,采用其他端口服务。
-添加访问控制,配置服务来源地址限定策略。
-增长 ZooKeeper 的认证配置。
到此Zookeeper未授权访问漏洞的基础知识就学习完了,后面另有很多的别未授权访问的知识等着我去学习,我们后面见(*^▽^*)
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
欢迎光临 IT评测·应用市场-qidao123.com (https://dis.qidao123.com/)
Powered by Discuz! X3.4
