ZOOKEEPER 未授权访问漏洞

mind

ZOOKEEPER 未授权访问漏洞

0X00 漏洞简介

• ZooKeeper是一个分布式的，开放源码的分布式应用程序协调服务，是Google的Chubby一个开源的实现，是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件，提供的功能包括：配置维护、域名服务、分布式同步、组服务等。
• ZooKeeper默认开启在2181端口，在未进行任何访问控制情况下，攻击者可通过执行envi命令获得系统大量的敏感信息，包括系统名称、Java环境。
  

0X01 环境搭建

测试机：Kali
靶机：Ubuntu
版本：zookeeper-3.4.14

分别在测试机和靶机都安装zookeeper-3.4.14
安装命令如下：

[Python] 纯文本查看 复制代码

wget [url]https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.4.14/zookeeper-3.4.14.tar.gz[/url]
tar -xzvf zookeeper-3.4.14.tar.gz 
cd zookeeper-3.4.14/conf
mv zoo_sample.cfg zoo.cfg
../bin/zkServer.sh start # 启动

搭建成功~~默认端口2181








参考：https://www.freesion.com/article/5652223528/