小M-Quartz

ElasticSearch 弱密码

2分钟阅读

概述:ElasticSearch 弱密码调研记录

环境:Windows x64

[toc]

下载安装

相关文档:

Download Elasticsearch | Elastic

windows 安装 Elasticsearch_windows安装elasticsearch_纯洁的小魔鬼的博客-CSDN博客

windows环境下elasticsearch安装教程(超详细) - hualess - 博客园

password_hash - Examples

3zn6y7km7 - PHP - OneCompiler

启动

运行 ElasticSearch.bat 会启动 ElasticSearch。首次启动会创建一个用户并生成密码。

添加用户

如下所示为添加用户 test,密码为 Admin@2020

elasticsearch-8.10.1\bin>elasticsearch-users.bat -v useradd test -p Admin@2020

新增用户后,会在 %ES_HOME%\config\users 文件夹中追加新用户的用户名和密码。

查看密码文件

查看 config\users 文件:

文件内容如下所示:

image2023-9-21_13-34-52

users文件

test:$2a$10$rhBIOBC6HRcOGLPdHDrBxuiORQN89.xbYX4xbRLBa4ryuWt1KLhsa
test2:$2a$10$XyHmtW2hQKCcy/D5gFpOde/iOyw7RHZyF47O/piRUNTs2mOczbqf2

加密方式均为 $2a 开头,调用的为 PHP 的 password_hash 算法,有关 password_hash 可以查看解密工具中文档的描述。

关系图谱