企鹅大陆redis服务器未进行安全配置导致redis未授权访问漏洞。
0x01 下载APP
下载企鹅大陆app最新版:https://m.qiedalu.com/app
对其进行反编译
0x02 多个类中调用了39.108.80.7地址
查看testActivity.java
查看g.java
经过测试,确定39.108.80.7的redis默认端口开放,为企鹅大陆的redis服务器地址。
0x03 redis端口对外开放
Redis因配置不当,没开启认证的情况下,可以导致未授权访问,被攻击者恶意利用。在特定条件下,如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器,可导致服务器权限被获取和数据删除、泄露或加密勒索事件发生,严重危害业务正常服务。
redis-cli -h 39.108.80.7
进入服务器,即可执行相应命令,如增删改查操作等。
INFO server #查看信息
keys * #查询key值
0x04 访问
http://39.108.80.7:8000
其也是虎符钱包app的服务器,两款app应属于同一家公司的。