ElasticSearch 未授权访问

方糖的博客

安全小技巧

新的一年快到了….

剪刀石头布,哈，我又赢了

2023

05-16

漏洞介绍

Elasticsearch 是一款 java 编写的企业级搜索服务。越来越多的公司使用 ELK 作为日志分析，启动此服务默认会开放9200端口，可被非法操作数据。

漏洞检测：默认端口9200

相当于一个API，任何人访问这个地址，就可以调用api，进行数据的增删改操作。

返回内容中包含”You Know, for Search”

漏洞利用

利用接口
http://x.x.x.x:9200/_nodes
http://x.x.x.x:9200/_river
http://101.198.161.130:9200/_cat/indices/
http://101.198.161.130:9200/_plugin/head/
http://101.198.161.130:9200/_nodes?prettify
http://101.198.161.130:9200/_status
http://101.198.161.130:9200/_search?pretty
http://10.203.9.131:9200/zjftu/
http://10.203.9.131:9200/zjftu/_search?pretty

修复方案

• 关闭9200端口
• 防火墙规则限制禁止外网访问端口
• 设置端口账号认证

参考链接

http://blkstone.github.io/2017/09/27/elasticsearch-unauthorized-access/

http://blkstone.github.io/2017/09/27/elasticsearch-unauthorized-access/

啊，再见了，再见了，哈

我们会再见的对么

再见你要幸福

燕子，燕子