AI 助理
备案控制台
开发者社区 大数据 文章 正文

目标Zookeeper未授权访问(漏洞验证)

2021-12-06 1246
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云原生网关 MSE Higress,422元/月
注册配置 MSE Nacos/ZooKeeper,118元/月
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
简介: 目标Zookeeper未授权访问(漏洞验证)

漏洞验证

image.png

📢漏洞复现

image.png

image.png

echo envi | nc 1.1.1.1 2181

image.png

可视化工具进行连接

https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip

image.png

📢漏洞描述

ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。

ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi等命令获得系统大量的敏感信息,包括系统名称、Java环境。

📢解决办法

1️⃣ 建议开启防火墙策略;

2️⃣ 禁止该应用对外开放。

📢验证方法

根据检测到目标Zookeeper未授权访问漏洞原理,通过访问不需要授权就能访问到的链接并根据响应内容进行漏洞验证。


文章标签:
微服务引擎
Java
数据可视化
分布式计算
网络安全
数据安全/隐私保护
Hbase
Hadoop
安全
分布式数据库
关键词:
微服务引擎验证
相关实践学习
基于MSE实现微服务的全链路灰度
通过本场景的实验操作,您将了解并实现在线业务的微服务全链路灰度能力。
李白你好
目录
相关文章
yuanzhengme
|
4月前
|
存储 Java 网络安全
ZooKeeper【部署 02】apache-zookeeper-3.6.0 集群版(准备+安装配置+启动验证)
ZooKeeper【部署 02】apache-zookeeper-3.6.0 集群版(准备+安装配置+启动验证)
yuanzhengme
160 0
yuanzhengme
|
4月前
|
存储 Shell Linux
ZooKeeper【部署 01】单机版安装+配置+添加到service服务+开机启动配置+验证+chkconfig配置+shell自动部署脚本(一篇入门zookeeper)
ZooKeeper【部署 01】单机版安装+配置+添加到service服务+开机启动配置+验证+chkconfig配置+shell自动部署脚本(一篇入门zookeeper)
yuanzhengme
310 0
蚂蚁小黑
|
安全 Java 数据安全/隐私保护
ZooKeeper 未授权访问漏洞利用
ZooKeeper 未授权访问漏洞利用
蚂蚁小黑
1677 1
指剑
|
Linux
Linux安装zookeeper并验证
Linux安装zookeeper并验证
指剑
572 0
Linux安装zookeeper并验证
bypass
|
安全 Apache
ZooKeeper 未授权访问漏洞
ZooKeeper 安装: Zookeeper的默认开放端口是2181 wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.
bypass
9504 0
长梦
|
4月前
|
监控 负载均衡 Cloud Native
ZooKeeper分布式协调服务详解:面试经验与必备知识点解析
【4月更文挑战第9天】本文深入剖析ZooKeeper分布式协调服务原理,涵盖核心概念如Server、Client、ZNode、ACL、Watcher,以及ZAB协议在一致性、会话管理、Leader选举中的作用。讨论ZooKeeper数据模型、操作、会话管理、集群部署与管理、性能调优和监控。同时,文章探讨了ZooKeeper在分布式锁、队列、服务注册与发现等场景的应用,并在面试方面分析了与其它服务的区别、实战挑战及解决方案。附带Java客户端实现分布式锁的代码示例,助力提升面试表现。
长梦
485 2
Cool架构
|
4月前
|
监控 Dubbo 前端开发
快速入门分布式系统与Dubbo+zookeeper Demo
快速入门分布式系统与Dubbo+zookeeper Demo
Cool架构
468 0
hsfxuebao
|
4月前
|
监控 NoSQL Java
Zookeeper分布式锁
Zookeeper分布式锁
hsfxuebao
526 1
萝卜丝丸子
|
2月前
|
监控 NoSQL Java
分布式锁实现原理问题之ZooKeeper的观察器(Watcher)特点问题如何解决
分布式锁实现原理问题之ZooKeeper的观察器(Watcher)特点问题如何解决
萝卜丝丸子
37 0
你都不懂
|
2月前
|
算法 前端开发
Zookeeper之CAP理论及分布式一致性算法
【7月更文挑战第20天】
你都不懂
187 3

热门文章

最新文章

  • 1
    Dubbo的Zookeeper单机配置和Zookeeper集群配置
  • 2
    Spring Cloud Zookeeper 中心化配置文件
  • 3
    zookeeper集群搭建
  • 4
    ZooKeeper 未授权访问漏洞
  • 5
    分布式服务框架 Zookeeper -- 管理分布式环境中的数据
  • 6
    安装ZooKeeper
  • 7
    ZooKeeper 笔记(5) ACL(Access Control List)访问控制列表
  • 8
    Windows下安装ZooKeeper
  • 9
    阿里云微服务引擎 MSE 12 月产品动态
  • 10
    Dubbo与Zookeeper、SpringMVC整合和使用(负载均衡、容错)(转)
  • 1
    【中间件】zookeeper的实现原理
    62
  • 2
    R语言参数自抽样法Bootstrap:估计MSE、经验功效、杰克刀Jackknife、非参数自抽样法可视化自测题
    40
  • 3
    Zookeeper笔记
    69
  • 4
    Kafka【部署 03】Zookeeper与Kafka自动部署脚本
    56
  • 5
    ZooKeeper【基础知识 04】控制权限ACL(原生的 Shell 命令)
    63
  • 6
    ZooKeeper【基础 03】Java 客户端 Apache Curator 基础 API 使用举例(含源代码)
    56
  • 7
    ZooKeeper的安装(Linux版)
    133
  • 8
    ZooKeeper【基础 02】zookeeper-3.6.0 常用Shell命令(节点增删改查+监听器+四字指令)
    55
  • 9
    ZooKeeper【基础 01】简介+设计目标+核心概念+ZAB协议+典型应用场景
    73
  • 10
    ZooKeeper【搭建 03】apache-zookeeper-3.6.0 伪集群版(一台服务器实现三个节点的ZooKeeper集群)
    68

    • 相关课程

    更多
  • 基于MSE的大促场景流量入口防护最佳实践
  • Dubbo + ZooKeeper 的服务发现最佳实践
  • MSE微服务测试最佳实践 - 自动化回归
  • 基于Zookeeper、Dubbo构建互联网分布式基础架构
  • 大数据ZooKeeper快速入门
  • 分布式协调系统 Zookeeper 快速入门

    • 相关电子书

    更多
  • 《MSE 微服务网关》
  • 微服务引擎 MSE 治理中心重磅发布
  • 阿里云微服务引擎 MSE 2.0 线上发布

    • 相关实验场景

    更多
  • 基于MSE实现微服务的全链路灰度
  • 基于MSE实现K8s集群内多服务的灰度发布
  • 通过会话管理端口转发功能访问ECS内部服务
    • 下一篇
    对象存储 OSS 如何创建 bucket|学习笔记