最近在拿自己學校練手,發現了乙個elasticsearch未授權訪問漏洞,然後就邊學習邊去嘗試利用這個漏洞。
elasticsearch服務普遍存在乙個未授權訪問的問題,攻擊者通常可以請求乙個開放9200或9300的伺服器進行惡意攻擊。
要利用這個漏洞,最重要的就是檢視資料,下面是elasticsearch基本的查詢方法
2.1 查詢所有的 index, type:
$ curl localhost:9200/_search?pretty=true
2.2 查詢某個index下所有的type:
$ curl localhost:9200/films/_search
2.3 查詢某個index 下, 某個 type下所有的記錄:
$ curl localhost:9200/films/md/_search?pretty=true
2.4 帶有引數的查詢:
$ curl localhost:9200/films/md/_search?q=tag:good
,"hits":},}
]}}
2.5 使用json引數的查詢: (注意 query 和 term 關鍵字)
$ curl localhost:9200/film/_search -d '
}}'
授人以魚,不如授人以漁
成都傳智播客學員感言。口碑的力量!我是一名非計算機專業的學員,初級來到傳智學習。然後憑藉著這四個月知識,順利找到了工作。順利轉行進入了it行業。在這衷心的感謝傳智這個平台,感謝全部的老師們。在傳智的幾個月的時間裡,學習了web方面的知識,學習了資料庫,學習了四大框架。知識面很的廣,這些東西都是我從來...
授人以漁不如授人以魚
標題寫成這樣我自然沒有寫錯,原話是 授人以魚不如授人以漁。兩個字的顛倒,意思卻千差萬別。而我想說的是,我信奉 授人以漁不如授人以魚 並且我相信生活中有很多都是這麼做的。授人以漁的故事有很多,比如 還珠格格 中,紫薇一行人遇到小偷劉輝,在得知劉輝的具體情況後紫薇決定將陽春麵的做法交給他,最後還叫皇阿瑪...
基於open distro的ES使用者管理(授權)
open distro for elasticsearch 是由亞馬遜aws支援的基於apache license,version 2.0協議的100 開源的elasticsearch發行版。與elastic公司官方的elasticsearch版本最大的區別是 剔除了基於elastic協議發布的xp...