AI 助理
备案控制台
开发者社区 大数据 文章 正文

目标Zookeeper未授权访问(漏洞验证)

2021-12-06 1273
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
注册配置 MSE Nacos/ZooKeeper,118元/月
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
云原生网关 MSE Higress,422元/月
简介: 目标Zookeeper未授权访问(漏洞验证)

漏洞验证

image.png

📢漏洞复现

image.png

image.png

echo envi | nc 1.1.1.1 2181

image.png

可视化工具进行连接

https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip

image.png

📢漏洞描述

ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。

ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi等命令获得系统大量的敏感信息,包括系统名称、Java环境。

📢解决办法

1️⃣ 建议开启防火墙策略;

2️⃣ 禁止该应用对外开放。

📢验证方法

根据检测到目标Zookeeper未授权访问漏洞原理,通过访问不需要授权就能访问到的链接并根据响应内容进行漏洞验证。


文章标签:
微服务引擎
Java
数据可视化
分布式计算
网络安全
数据安全/隐私保护
Hbase
Hadoop
安全
分布式数据库
关键词:
微服务引擎验证
相关实践学习
基于MSE实现微服务的全链路灰度
通过本场景的实验操作,您将了解并实现在线业务的微服务全链路灰度能力。
李白你好
目录
相关文章
yuanzhengme
|
5月前
|
存储 Java 网络安全
ZooKeeper【部署 02】apache-zookeeper-3.6.0 集群版(准备+安装配置+启动验证)
ZooKeeper【部署 02】apache-zookeeper-3.6.0 集群版(准备+安装配置+启动验证)
yuanzhengme
181 0
yuanzhengme
|
5月前
|
存储 Shell Linux
ZooKeeper【部署 01】单机版安装+配置+添加到service服务+开机启动配置+验证+chkconfig配置+shell自动部署脚本(一篇入门zookeeper)
ZooKeeper【部署 01】单机版安装+配置+添加到service服务+开机启动配置+验证+chkconfig配置+shell自动部署脚本(一篇入门zookeeper)
yuanzhengme
351 0
蚂蚁小黑
|
安全 Java 数据安全/隐私保护
ZooKeeper 未授权访问漏洞利用
ZooKeeper 未授权访问漏洞利用
蚂蚁小黑
1719 1
指剑
|
Linux
Linux安装zookeeper并验证
Linux安装zookeeper并验证
指剑
576 0
Linux安装zookeeper并验证
bypass
|
安全 Apache
ZooKeeper 未授权访问漏洞
ZooKeeper 安装: Zookeeper的默认开放端口是2181 wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.
bypass
9517 0
1176112968452250
|
10天前
|
安全 应用服务中间件 API
微服务分布式系统架构之zookeeper与dubbo-2
微服务分布式系统架构之zookeeper与dubbo-2
1176112968452250
28 1
1176112968452250
|
10天前
|
负载均衡 Java 应用服务中间件
微服务分布式系统架构之zookeeper与dubbor-1
微服务分布式系统架构之zookeeper与dubbor-1
1176112968452250
26 1
1176112968452250
|
11天前
|
存储 负载均衡 Dubbo
分布式-Zookeeper(一)
分布式-Zookeeper(一)
1176112968452250
27 0
萝卜丝丸子
|
3月前
|
监控 NoSQL Java
分布式锁实现原理问题之ZooKeeper的观察器(Watcher)特点问题如何解决
分布式锁实现原理问题之ZooKeeper的观察器(Watcher)特点问题如何解决
萝卜丝丸子
40 0
1176112968452250
|
11天前
分布式-Zookeeper-数据订阅
分布式-Zookeeper-数据订阅
1176112968452250
31 4

热门文章

最新文章

  • 1
    Dubbo的Zookeeper单机配置和Zookeeper集群配置
  • 2
    Spring Cloud Zookeeper 中心化配置文件
  • 3
    zookeeper集群搭建
  • 4
    ZooKeeper 未授权访问漏洞
  • 5
    zookeeper一些数据模型
  • 6
    安装ZooKeeper
  • 7
    分布式服务框架 Zookeeper -- 管理分布式环境中的数据
  • 8
    ZooKeeper 笔记(5) ACL(Access Control List)访问控制列表
  • 9
    Windows下安装ZooKeeper
  • 10
    云原生最佳实践系列 6:MSE 云原生网关使用 JWT 进行认证鉴权
  • 1
    ZooKeeper数据模型你懂吗?
    83
  • 2
    【中间件】zookeeper的实现原理
    68
  • 3
    R语言参数自抽样法Bootstrap:估计MSE、经验功效、杰克刀Jackknife、非参数自抽样法可视化自测题
    47
  • 4
    Zookeeper笔记
    75
  • 5
    Kafka【部署 03】Zookeeper与Kafka自动部署脚本
    66
  • 6
    ZooKeeper【基础知识 04】控制权限ACL(原生的 Shell 命令)
    70
  • 7
    ZooKeeper【基础 03】Java 客户端 Apache Curator 基础 API 使用举例(含源代码)
    62
  • 8
    ZooKeeper的安装(Linux版)
    149
  • 9
    ZooKeeper【基础 02】zookeeper-3.6.0 常用Shell命令(节点增删改查+监听器+四字指令)
    62
  • 10
    ZooKeeper【基础 01】简介+设计目标+核心概念+ZAB协议+典型应用场景
    78

    • 相关课程

    更多
  • 基于MSE的大促场景流量入口防护最佳实践
  • Dubbo + ZooKeeper 的服务发现最佳实践
  • MSE微服务测试最佳实践 - 自动化回归
  • 基于Zookeeper、Dubbo构建互联网分布式基础架构
  • 大数据ZooKeeper快速入门
  • 分布式协调系统 Zookeeper 快速入门

    • 相关电子书

    更多
  • 《MSE 微服务网关》
  • 微服务引擎 MSE 治理中心重磅发布
  • 阿里云微服务引擎 MSE 2.0 线上发布

    • 相关实验场景

    更多
  • 基于MSE实现微服务的全链路灰度
  • 基于MSE实现K8s集群内多服务的灰度发布
    • 下一篇
    无影云桌面