Zookeeper未授权访问漏洞

starhei.zxy2024-08-05 17:35

Zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。Zookeeper的默认开放端口是2181。Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。

漏洞利用

步骤一:使用以下Fofa语法搜索资产信息....

复制代码 
port="2181"

步骤二:在Kali中使用以下命令进行未授权访问漏洞测试..

复制代码 
echo envi | nc 106.227.19.24 2181

步骤三:可使用Zookeeper可视化管理工具进行连接....

复制代码 
#工具下载
https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip

漏洞修复

  1. 修改 ZooKeeper 默认端口,采用其他端口服务。
  2. 添加访问控制,配置服务来源地址限制策略。
  3. 增加 ZooKeeper 的认证配置。
相关推荐
哈里谢顿14 小时前
Kubernetes Operator核心概念、实现原理和实战开发
云原生
阿里云云原生19 小时前
你的 OpenClaw 真的在受控运行吗?
云原生
阿里云云原生19 小时前
5 分钟零代码改造,让 Go 应用自动获得全链路可观测能力
云原生·go
Shanyoufusu1220 小时前
RKE2 单节点集群安装 Rancher+ 私有镜像仓库搭建 完整教程
云原生
阿里云云原生20 小时前
Dify 官方上架 Higress 插件,轻松接入 AI 网关访问模型服务
云原生
初次攀爬者1 天前
Kafka + ZooKeeper架构基础介绍
后端·zookeeper·kafka
AI攻城狮1 天前
OpenClaw Session 管理完全指南:Context 压缩、重置与持久化
人工智能·云原生·aigc
阿里云云原生5 天前
阿里云获评 Agentic AI 开发平台领导者,函数计算 AgentRun 赢下关键分!
云原生
初次攀爬者5 天前
ZooKeeper 实现分布式锁的两种方式
分布式·后端·zookeeper
阿里云云原生5 天前
MSE Nacos Prompt 管理:让 AI Agent 的核心配置真正可治理
微服务·云原生
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04OpenClaw优化飞书API 额度已耗尽问题05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤07Window 10部署openclaw报错node.exe : npm error code 12808小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)09OpenClaw大龙虾机器人完整安装教程10网站改了域名,如何查找?