大数据框架Hue命令执行技巧

  • A+
所属分类:安全文章

更多全球网络安全资讯尽在邑安全

目前大数据是一个流行趋势,多数企业采用开源大数据框架来处理复杂的大体量数据,大数据管理平台Hue 是一个Web应用,用来简化用户和Hadoop集群的交互,技术架构从总体上来讲采用的是B/S架构,该web应用的后台采用python编程语言编写,大体上可以分为三层,分别是前端view层、Web服务层和Backend服务层。
Hue几乎可以支持所有大数据框架,包含有HDFS文件系统对的页面(调用HDFS API,进行增删改查的操作),有HIVE UI界面(使用HiveServer2,JDBC方式连接,可以在页面上编写HQL语句,进行数据分析查询),YARN监控及Oozie工作流任务调度页面等等。Hue通过把这些大数据技术栈整合在一起,通过统一的Web UI来访问和管理,极大地提高了大数据用户和管理员的工作效率
Hue默认配置可直接上传文件、恶意java程序、shell脚本,并提交计划任务执行,配置信息会在第一次启动时填写,可使用弱口令,例如用户名密码:admin/123456,admin/admin。
FoFa搜索语句:title="Hue - 欢迎使用 Hue"

下面是详细复现过程,以shell脚本为例。
首先准备一个命令执行、反弹shell脚本,或编译后的RCE、反弹shell java程序,本次复现使用反弹shell脚本:
大数据框架Hue命令执行技巧
登录后可在文件管理界面点击“+”上传文件,可选择不同目录:
大数据框架Hue命令执行技巧
上传后使用查询提交功能,提交任务计划Scheduler:
大数据框架Hue命令执行技巧
出现如下界面后,选择ACTIONS-动作,将“命令图标”拖入命令框:
大数据框架Hue命令执行技巧
就会出现以下配置界面,点击右侧“...”按钮选择刚才传的文件:
大数据框架Hue命令执行技巧
选中后:
大数据框架Hue命令执行技巧
此处记住要在右下角FILES选项同样选中对应脚本或程序,不然容易出现“找不到文件”的错误。
大数据框架Hue命令执行技巧
此时就可以提交保存,并使用立即执行按钮执行计划任务:
大数据框架Hue命令执行技巧
在监听机器使用nc监听,执行结果
大数据框架Hue命令执行技巧
大数据框架默认用户一般为yarn/spark/hadoop等,后续提权就看各位师傅自己的骚操作了。

防范措施:1.更改大数据框架认证方式,修改用户密码。
2.将默认端口屏蔽公网访问。

原文来自: 先知社区

原文链接: https://xz.aliyun.com/t/9472

欢迎收藏并分享朋友圈,让五邑人网络更安全

大数据框架Hue命令执行技巧

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):大数据框架Hue命令执行技巧

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: