首页 > 其他分享 >Memcached未授权访问漏洞

Memcached未授权访问漏洞

时间:2024-08-04 23:27:21浏览次数:15  
标签:stats Memcached 漏洞 11211 key 授权 memcached

1.Memcached 是一套常用的 key-value 分布式高速缓存系统,由于 Memcached 的安全设计缺陷没有权限控制模块,所以对公网开放的Memcache服务很容易被攻击者扫描发现,攻击者
无需认证通过命令交互可直接读取 Memcached中的敏感信息

步骤一:下载Memcached程序并执行以下命令..启动Memcached漏洞环境

下载地址:
https://www.runoob.com/memcached/window-install-memcached.html
#执行命令
memcached.exe -d install
memcached.exe -d start

 

 

步骤二:使用Telnet程序探测目标的11211端口

#Telnet探测
telnet 192.168.4.199 11211
#操作命令
stats //查看memcache服务状态
stats items //查看所有items
stats cachedump 390//获得缓存key
get:state:264861539228401373:261588//通过key读取相应value获得实际缓存内容,造成敏感信息泄露

 步骤三:使用Nmap程序的脚本进行漏洞扫描

 

》》》漏洞修复《《《
1.设置Memchached只允许本地访问。
2.禁止外网访问Memcached 11211端口。
3.配置访问控制策略。

标签:stats,Memcached,漏洞,11211,key,授权,memcached
From: https://blog.csdn.net/weixin_71053667/article/details/140905308

相关文章

  • 未授权访问漏洞(漏洞复现合集)
    目录一:Redis未授权访问漏洞*步骤一:进入vulhub目录使用以下命令启动靶机...步骤二:在Kali上安装redis程序进行服务的链接步骤三:可以直接连接执行命令且不需要认证说明存在未授权访问漏洞...下载以下攻击项目...步骤四:使用工具执行以下命令获取目标的命令执行环境,交互......
  • 常见CMS漏洞(WordPress、DeDeCMS、ASPCMS、PHPMyadmin、Pageadmin)
    目录一:WordPress步骤一:进入Vulhub靶场并执行以下命令开启靶场;在浏览器中访问并安装好子...步骤二:思路是修改其WP的模板写入一句话木马后门并访问其文件即可GetShel;登陆WP后点击【外观】--》【编辑】--》404.php步骤三:访问以下连接即可获取WebShel...姿势二:上传主......
  • ThinkAdmin_v6两个简单漏洞(文件读取+信息泄露)
    侵权声明本文章中的所有内容(包括但不限于文字、图像和其他媒体)仅供教育和参考目的。如果在本文章中使用了任何受版权保护的材料,我们满怀敬意地承认该内容的版权归原作者所有。如果您是版权持有人,并且认为您的作品被侵犯,请通过以下方式与我们联系:[[email protected]]。我们将在确......
  • 【源码分享】云夜卡V3.6.8_完整包去授权版
    V3.6.8上传模式新增可道云网盘新增自动清理日志机制新增购物车开关插件系统优化修复已知BUGV3.6.7新增定时任务重新对接失败订单新增订单列表内容一键去中文新增用户支持配置收货地址前台下单新增并发控制开通分站新增并发限制供货商商品加价重构(请供货商重新配置加价,若有......
  • Jupyter NoteBook未授权访问漏洞
    JupyterNoteBook未授权访问漏洞JupyterNotebook(此前被称为IPythonnotebook)是一个交互式笔记本,支持运行40多种编程语言。如果管理员未为JupyterNotebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令,默认端口:8888。漏洞......
  • Jenkins未授权访问漏洞
    Jenkins未授权访问漏洞默认情况下Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。漏洞复现步骤一:使用以下fofa语法进行产品搜索port="8080"&&......
  • Zookeeper未授权访问漏洞
    Zookeeper未授权访问漏洞Zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。Zookeeper的默认开放端口是2181。Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进......
  • 强大的X站 七色坊+免授权+带打赏+带三级分销+已对接支付
    强大的X站七色坊+免授权+带打赏+带三级分销+已对接支付强大的X站:七色坊+免授权+带打赏+带**分销+已对接支付在数字时代的浪潮中,互联网平台如雨后春笋般涌现,其中,X站以其独特的商业模式和强大的功能集合,成为了业界的一颗璀璨明星。本文将深入探讨X站如何整合七色坊内容、免授......
  • Nexpose v6.6.263 for Linux & Windows - 漏洞扫描
    Nexposev6.6.263forLinux&Windows-漏洞扫描Rapid7VulnerabilityManagement,releaseJul31,2024请访问原文链接:https://sysin.org/blog/nexpose-6/,查看最新版。原创作品,转载请保留出处。您的本地漏洞扫描程序搜集通过实时覆盖整个网络,随时了解您的风险。......
  • 致远互联FE协作办公平台 apprvaddNew.jsp SQL注入漏洞复现
    0x01产品简介致远互联FE协作办公平台是一款为企业提供全方位协同办公解决方案的产品。它集成了多个功能模块,旨在帮助企业实现高效的团队协作、信息共享和文档管理。0x02漏洞概述致远互联FE协作办公平台apprvaddNew.jsp接口处存在SQL注入漏洞,未经身份验证的攻击者可以通......