Memcached未授权访问漏洞
漏洞描述
Memcached是一个高速缓存系统,用于存储网络上的大量动态数据。未授权访问漏洞指的是,在没有对Memcached的访问控制的情况下,任意人可以在未经授权的情况下访问和读取存储在Memcached中的数据。这可能导致敏感信息泄露,包括用户密码、信用卡信息等。
环境搭建
wget http://memcached.org/files/old/memcached-1.4.14.tar.gz
tar -zxvf memcached-1.4.14.tar.gz
cd memcached-1.4.14.tar.gz
./configure && make && make test && sudo make install启动Memcached
漏洞利用
扫描端口
缓存管理命令:
stats 命令的功能正如其名:转储所连接的 memcached 实例的当前统计数据。在下例中,执行 stats 命令显示了关于当前 memcached 实例的信息
以上信息显示了当前的流量统计。它服务于连接数量、数据存储到缓存中、缓存命中率以及有关内存使用情况的详细信息以及通过用于存储单个项目的平板分配信息的分布。
flush_all 命令。这个最简单的命令仅用于清理缓存中的所有名称/值对。如果您需要将缓存重置到干净的状态。
统计slabs信息
使用msf找到key
最后更新于
这有帮助吗?