浅谈未授权访问及批量检测

前言:


有一次工作中客户通过扫描器发现存在nfs未授权,让我给进行验证,我当时第一次遇到,结果半小时过去了,我还是没有给验证出来,留下了不学无术的泪水。我打算整理一篇文章记录我之前没遇到过的未授权访问。

nfs 共享目录未授权访问:

Network File System(NFS),是由SUN公司研制的UNIX表示层协议(pressentation layer protocol),默认端口2049,能使使用者访问网络上别处的文件就像在使用自己的计算机一样。nfs最初只支持UDP协议,在新版本中支持TCP和UDP协议。服务器在启用nfs服务以后,由于nfs服务未限制对外访问,导致共享目录泄漏。若运维人员未对文件访问进行控制,将导致本地文件可被任意读取。

验证过程:

# 安装nfs客户端
apt install nfs-common 

# 查看nfs服务器上的共享目录
showmount -e x.x.x.x 
# 挂载到本地
mount -t nfs x.x.x.x:/grdata /mnt 
# 卸载共享目录
umount /mnt/

msf具有一个可用于列出导出文件夹的模块:

use auxiliary/scanner/nfs/nfsmount
set rhosts x.x.x.x
run

通过fofa爬虫脚本进行批量收集,找到一个ip存在此漏洞:

补充:*为所有人都可以访问,*显示就说明存在未授权漏洞
挂载成功以后可以利用WinSCP或者Xftp进行查看

修复方案:

1、利用iptables限制端口2049和20048端口的访问,禁止外部访问。
2、在/etc/exports下对所需要共享的文件进行访问控制,如: /home export 10.x.x.x(rw,async,no_root_squash) 仅运行10.x.x.x访问该目录。

ldap未授权访问:


LDAP中文全称为:轻型目录访问协议(Lightweight Directory Access Protocol),默认使用389端口, LDAP 底层一般使用 TCP 或 UDP 作为传输协议。目录服务是一个特殊的数据库,是一种以树状结构的目录数据库为基础。未对LDAP的访问进行密码验证,导致未授权访问。

漏洞利用:

利用ldapbrowser直接连接,获取目录内容

fofa上根据关键词进行搜索随意找了一处ldap未授权:

修复方案:

1、修改ldap的acl,不允许匿名访问。
2、根据业务设置ldap访问白名单或黑名单。
3、增加强密码验证

rsync 未授权访问:

rsync是Linux下一款数据备份工具,可通过 LAN/WAN 快速同步多台主机间的文件,也可以同步本地硬盘中的不同目录,支持通过rsync协议、ssh协议进行远程文件传输。其中rsync且默认允许匿名访问,如果目标开启了rsync服务,并且没有配置ACL或访问密码,我们将可以读写目标服务器文件。
rsync协议默认监听873端口。

这里我搭建好vulhub中的docker环境进行漏洞检测:

nmap -Pn -p 873 --script=rsync-list-modules 192.168.107.129

发现有一个src模块,我们尝试是否能未授权列出这个模块下的文件:

rsync rsync://192.168.107.129:873/src/

任意文件下载:

rsync -av rsync://192.168.107.129:873/src/etc/passwd ./

写入任意文件:

rsync -av book4yi rsync://192.168.107.129:873/src/book4yi

在fofa上进行随机目标测试:

修复方案:

增加用户密码认证,设置访问ip限制。
方式一:修改rsync的配置
更改rysnc默认配置文件/etc/rsyncd.conf,添加或修改参数:
访问控制;设置host allow,限制允许访问主机的IP;:hosts allow = 123.123.123.123。
权限控制;设置read only,将模块设置成只读;Read only = true
访问认证;设置auth、secrets,认证成功才能调用服务。
模块隐藏;设置list,将模块隐藏;list =false
数据加密传输:Rsync 默认没有直接支持加密传输,如果需要 Rsync 同步重要性很高的数据,可以使用 ssh。
详情可参考官方doc:https://rsync.samba.org/ftp/rsync/rsyncd.conf.html

VNC未授权访问:


使用msf进行批量检测:

auxiliary/scanner/vnc/vnx_none_auth

修复建议:

配置 VNC 客户端登录口令认证并配置符合密码强度要求的密码;
以最小权限的普通用户身份运行操作系统;

未授权访问批量化检测:


针对常见的未授权访问漏洞,通过编写python脚本进行批量检测,之前我有发过一个检测脚本,但是还不够完善,可以自行补充:浅谈端口渗透那些事

另外想补充一点就是对nmap的利用,nmap不仅仅只是作为端口扫描,它本身有丰富的script可以进行利用,也能简单地充当漏扫的角色,比如ms17-010、ms12-020、ms15-034等等,namp至少能够扫描5种常见的未授权漏洞,小伙伴们可以自行去研究:

参考如下:

26种未授权访问漏洞总结
常见未授权访问漏洞总结
NFS未授权访问 - 灰信网(软件开发博客聚合)
NFS 未授权访的原理与检测方式 – Neurohazard

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
禁止转载,如需转载请通过简信或评论联系作者。
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,444评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,421评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,036评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,363评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,460评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,502评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,511评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,280评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,736评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,014评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,190评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,848评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,531评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,159评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,411评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,067评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,078评论 2 352

推荐阅读更多精彩内容