Hadoop-yarn-unauthorized 未授权访问漏洞

一、漏洞描述：

Hadoop是一款由Apache基金会推出的分布式系统框架，它通过著名的 MapReduce 算法进行分布式处理，Yarn是Hadoop集群的资源管理系统。YARN提供有默认开放在8088和8090的REST API（默认前者）允许用户直接通过API进行相关的应用创建、任务提交执行等操作，如果配置不当可导致未授权访问的问题，攻击者无需认证即可通过REST API部署任务来执行任意指令，最终完全控制服务器。

 二、影响范围：

3.3.0 以下

三、漏洞复现：

使用vulhub靶场环境

在vulhub的靶场环境下创建容器

 靶场启动完成后，使用nmap扫描本机开放的端口，发现已经开启8088（yarn资源管理系统）

 访问网站

 exp文件：

使用nc开启监听9999端口

运行exp使其反联9999端口

 

反联成功