漏洞原理
个人理解是没有进行权限控制所致。
复现环境
Microsoft Windows 10 专业版
Zookeeper 3.4.14
Java JDK 1.8.0_181
复现过程
1.环境配置
下载zookeeper:http://archive.apache.org/dist/zookeeper/
下载完成后本地解压,conf目录下的zoo_sample.cfg文件重命名名为zoo.cfg,并做如下修改:
找到bin目录下的zkEnv.cmd并编辑:
2.Zookeeper启动和连接尝试
cd到bin目录,启动Zookeeper:zkServer.cmd
本机另开一个cmd,尝试连接:zkCli.cmd -server IP:2181
连接成功,并执行命令:ls /
3.未授权访问
在kali上尝试远程连接,用zkCli.cmd会报错,换成zkcli.sh
直接连上了。。。。
可执行各种操作:
可查看相关配置和操作系统信息:echo envi|nc IP 2181
本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。
如需转载,请注明出处,这是对他人劳动成果的尊重。