最近,在乌云上看到有人利用Redis非授权访问获取webshell的案例。其实,之前在安全论坛上有看到相关的介绍文章。好吧,我也打算试用一把,在测试过程中把遇到的问题及解决办法记录一下。指不定有些朋友可以用的上,当然,仅作交流,请勿用于非法途径。
什么是Redis呢?我摘抄一段百度百科中的文字:Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivotal赞助。
我主要在自己的kali虚拟机上测试,之前没有安装Redis相关的程序,第一步肯定是安装了。具体可以参考官网链接:http://redis.io/download。用SHODAN搜索了一下,找个案例实验一下。
为了保护隐私,文章后续涉及到具体IP地址,我都会打上马赛克。
如下图所示,我找到了一个非授权访问的Redis数据库。具体就是使用redis-cli命令来进行连接。