文章总结： 文档通过某运营商项目案例，详细演示了Elasticsearch未授权访问漏洞的利用过程，包括使用ElasticHD客户端和浏览器插件连接目标，获取indices中的敏感数据，并建议结合Kibana进行关键字搜索以扩大危害范围。文章提供了具体的操作步骤和工具推荐，强调该漏洞可能导致大量内部数据泄露。 综合评分： 78 文章分类： 漏洞分析,实战经验,WEB安全,数据安全,解决方案

客户要求 | Elasticsearch未授权访问的危害证明

原创

安全艺术 安全艺术

安全艺术

2026年5月15日 09:47 北京

在小说阅读器读本章

去阅读

之前挖某运营商项目碰到的有意思的漏洞，客户要求证明危害，所以有了下文内容。

1、工具

客户端连接工具：https://github.com/qax-os/ElasticHD

谷歌插件：elasticsearch-head（Chrome应用商店下载即可）

2、利用

启动客户端，访问本地9800端口

如存在Elasticsearch未授权访问，连接后获取信息如下

两种方法获取indices中的数据信息

第一种：ElasticHD中执行查询后直接搜索，如

第二种：收集indices后调用接口通过burp批量发包，不过会出现数据量过大burp无法显示的问题（可以通过接口中的size控制大小）

比如要获取******（indices名称）的数据，直接调用接口如下

POST /******/_search HTTP/1.1Host: Content-Length: 97Accept: application/json, text/plain, */*User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36Content-Type: application/json{“sort”:{},”query”:{“bool”:{“must”:[],”should”:[],”must_not”:[]}},”aggs”:{},”from”:0,”size”:1000}

3、发散

一般情况下ES会和Kibana结合使用，所以碰到ES的话可以扫扫端口找找Kibana的系统，比如

可以直接去discover里搜索了，比如

变换关键字搜索就可以，内容过多的话可以配合filter和时间范围不断筛选就行

关键字：key、secret、password，phone、网站域名之类

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全艺术 安全艺术 安全艺术《客户要求 | Elasticsearch未授权访问的危害证明》