Web端
http://219.141.242.77:7777/pe-admin/
#后台未授权访问
http://219.141.242.77:7777/pe-admin/main.jsp
参考:华泰保险某系统漏洞打包(未授权访问\弱口令\Getshell)
服务端
未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。目前主要存在未授权访问漏洞的有:NFS服务,Samba服务,LDAP,Rsync,FTP,GitLab,Jenkins,MongoDB,Redis,ZooKeeper,ElasticSearch,Memcache,CouchDB,Docker,Solr,Hadoop,Dubbo
参考:【脉搏沉淀系列】未授权访问漏洞总结
乌云实例:
优居客Redis未授权访问导致绕过SSH认证登录(redis+ssh-keygen免认证登录案例)
新浪微博docker remote API未授权访问导致远程命令执行(root)
百度游戏某zookeeper服务未授权访问
.......
redis未授权访问漏洞
漏洞环境搭建:
(一)安装redis服务:
(1)从官网下载源码的压缩包:
wget http://download.redis.io/releases/redis-3.2.11.tar.gz
(2)下载完成后,解压压缩包:
tar xzf redis-3.2.11.tar.gz;
(3)然后进入解压后的目录:cd redis-3.2.11,输入make并执行;
(4)make结束后,进入src目录:cd src,将redis-server和redis-cli拷贝到/usr/bin目录下(这样启动redis-server和redis-cli就不用每次都进入安装目录了):
(5)返回目录redis-3.2.11,将redis.conf拷贝到/etc/目录下:
(6)编辑etc中的redis配置文件redis.conf,如下图所示:
去掉ip绑定,允许除本地外的主机远程登录redis服务:
关闭保护模式,允许远程连接redis服务:
(7)使用/etc/目录下的reids.conf文件中的配置启动redis服务:redis-server /etc/redis.conf
(1)查看信息:info
(2)删除所有数据库内容:flushall
(3)刷新数据库:flushdb
(4)看所有键:KEYS *,使用select num可以查看键值数据。
(5)设置变量:set test “who am i”
(6)config set dir dirpath 设置路径等配置
(7)config get dir/dbfilename 获取路径及数据配置信息
(8)save保存
(9)get 变量,查看变量名称
因配置不当可以未经授权访问,攻击者无需认证就可以访问到内部数据,其漏洞可导致敏感信息泄露(Redis服务器存储一些有趣的session、cookie或商业数据可以通过get枚举键值),也可以恶意执行flushall来清空所有数据,攻击者还可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件。如果Redis以root身份运行,可以给root账户写入SSH公钥文件,直接免密码登录服务器,其相关漏洞信息如下:
(1)Redis 远程代码执行漏洞(CVE-2016-8339)
Redis 3.2.x < 3.2.4版本存在缓冲区溢出漏洞,可导致任意代码执行。Redis数据结构存储的CONFIG SET命令中client-output-buffer-limit选项处理存在越界写漏洞。构造的CONFIG SET命令可导致越界写,代码执行。
(2)CVE-2015-8080
Redis 2.8.x在2.8.24以前和3.0.x 在3.0.6以前版本,lua_struct.c中存在getnum函数整数溢出,允许上下文相关的攻击者许可运行Lua代码(内存损坏和应用程序崩溃)或可能绕过沙盒限制意图通过大量,触发基于栈的缓冲区溢出。
(3)CVE-2015-4335
Redis 2.8.1之前版本和3.0.2之前3.x版本中存在安全漏洞。远程攻击者可执行eval命令利用该漏洞执行任意Lua字节码
(4)CVE-2013-7458
读取“.rediscli_history”配置文件信息。