标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2020-2684]   作者: future 发表于: [2020-05-28]

本文共 [11] 位读者顶过

原理

参考http://archive.hack.lu/2016/Wavestone%20-%20Hack.lu%202016%20-%20Hadoop%20safari%20-%20Hunting%20for%20vulnerabilities%20-%20v1.0.pdf

测试环境

运行测试环境

docker-compose up -d

环境启动后,访问http://your-ip:8088即可看到Hadoop YARN ResourceManager WebUI页面。

利用

利用方法和原理中有一些不同。在没有 hadoop client 的情况下,直接通过 REST API (https://hadoop.apache.org/docs/r2.7.3/hadoop-yarn/hadoop-yarn-site/ResourceManagerRest.html) 也可以提交任务执行。

利用过程如下:

  1. 在本地监听等待反弹 shell 连接

  2. 调用 New Application API 创建 Application

  3. 调用 Submit Application API 提交

参考 exp 脚本

[出自:jiwo.org]

评论

暂无
发表评论
 返回顶部 
热度(11)
 关注微信