探索Redis安全新纪元:Redis Rogue Server

最新推荐文章于 2024-09-13 22:15:01 发布
最新推荐文章于 2024-09-13 22:15:01 发布
阅读量420 收藏 6
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00044/article/details/138947387
版权

探索Redis安全新纪元:Redis Rogue Server

redis-rogue-serverRedis(<=5.0.5) RCE项目地址:https://gitcode.com/gh_mirrors/re/redis-rogue-server

在这个数字化时代,数据的安全性至关重要。今天,我们将向您介绍一个令人瞩目的开源项目——Redis Rogue Server,一个针对Redis(<=5.0.5)远程代码执行(RCE)的漏洞利用工具,灵感来源于Redis后渗透技术

项目简介

Redis Rogue Server是一个强大且灵活的工具,它支持交互式shell和反向shell。通过创建恶意的Redis模块,这个项目能够让攻击者在目标系统上获得控制权。请注意,虽然这个工具的主要目的是为了教育和研究,但使用时应遵守相关法律法规,并尊重他人的隐私。

项目技术分析

该项目的核心是使用Python 3.6+编写的redis-rogue-server.py脚本,配合可编译的Redis模块exp.so。首先,你需要编译exploit文件,然后将.so文件与Python脚本放置在同一目录下。运行脚本时,你可以指定目标Redis服务器的IP和端口,以及伪装服务器的IP和端口。一旦连接建立,你可以选择启动交互式shell或反向shell。

应用场景

  • 安全审计:对于网络管理员而言,这是一个强大的测试工具,可以帮助他们在环境中识别并修复潜在的安全弱点。
  • 研究与教学:对学习Web安全、渗透测试和Redis安全的学生来说,这是深入了解漏洞利用过程的绝佳实例。
  • 应急响应:在发生安全事件时,可以用来模拟攻击,以便更好地理解威胁并制定应对策略。

项目特点

  1. 兼容性:支持Redis版本到5.0.5,覆盖了广泛的应用场景。
  2. 灵活性:提供交互式shell和反向shell两种模式,满足不同需求。
  3. 简单易用:命令行参数明确,一键启动,便于快速操作。
  4. 模块化设计:易于扩展和修改,便于进行定制化开发。
  5. 教育资源:通过对该项目的学习,可以深入理解Redis安全和漏洞利用。

总而言之,Redis Rogue Server是一个独特而有用的工具,无论是对于提升你的安全技能,还是对于保护您的系统免受潜在威胁,都是一次难得的机会。但是,请务必谨慎使用,避免误伤。如果你对此感兴趣,立即尝试并探索更多可能吧!

redis-rogue-serverRedis(<=5.0.5) RCE项目地址:https://gitcode.com/gh_mirrors/re/redis-rogue-server

姚婕妹
关注
连接redis服务器提示:Redis Client On Error: Error: connect ECONNREFUSED 127.0.0.1:6379 Config right?
BTYE的博客
06-30 1万+
redis
Redis Rogue Server: 创新的Redis安全测试工具
gitblog_00067的博客
04-18 438
Redis Rogue Server: 创新的Redis安全测试工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 Redis Rogue Server 是一个开源项目,由开发者 Dliv3 创建,旨在帮助系统管理员和安全专家进行红队(Red Team)操作和渗透测试,模拟恶意Redis服务器行为。通过这个工具,你可以测试你的应用程序如何处理被篡改或不安全Redis...
Redis Rogue Server 安装和配置指南
最新发布
gitblog_09313的博客
09-13 327
Redis Rogue Server 安装和配置指南 redis-rogue-server Redis(
Redis Rogue Server 项目推荐
gitblog_09312的博客
09-13 232
Redis Rogue Server 项目推荐 redis-rogue-server Redis(
redis攻防
weixin_59762059的博客
06-09 209
redis
Redis漏洞利用的4种方法
qq_50854662的博客
05-13 4659
Redis简介 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更
完美解决方案 redis Could not connect to Redis at 127.0.0.1:6379: Connection refused
热门推荐
xujunming668的博客
01-07 3万+
问题描述: 在Linux系统安装Redis后, 经过一番折腾后 ,启动了服务端后, 在启动客户端,出现了 redis Could not connect to Redis at 127.0.0.1:6379: Connection refused 考虑存在的问题: 1.redis.conf 可能配置出错 2.防火墙没有开放6379 解决方案: 恢复快照 重装redis 下面地址包含软件, 包含详细文档 「Redis安装包」https://www.aliyundrive.com/s/QHwShMSiafV
Redis服务启动失败,提示:redis-server:command not found
weixin_34415923的博客
02-09 4091
           今天我开始做主从复制的集群模式的测试,所以需要再装一个Linux操作系统,我在虚拟机里已经安装了一个Linux操作系统,Redis也已经配置好了。今天打算再安装一个Linux操作系统,Linux系统的安装过程很简单,就不多说了,如果大家想看,请查看我的另一篇文章《Redis进阶实践之一VMWare Pro虚拟机安装和Linux系统的安装》。             Linux...
Linux/ubuntu 安装 redis 4.0报错解决:redis-server.service: Can't open PID file /var/run/redis/redis-server.
个人博客
01-27 1万+
此文首发于我的个人博客:Linux/ubuntu 安装 redis 4.0报错解决:redis-server.service: Can’t open PID file /var/run/redis/redis-server.pid (yet?) after start: No such file or directory — zhang0peter的个人博客 晚上在我的ubuntu 18.04的...
Redis启动报Could not connect to Redis at 127.0.0.1:6379: 由于目标计算机积极拒绝,无法连接。
qq_43012792的博客
07-07 2万+
1、redis启动客服端报这个错误的原因(演示版本redis3.2): 是你没有启动相应的服务端,服务端不提供服务,客户端怎么可能访问到呢 2、问题解决(演示版本redis3.2): 方式一:进入redis的目录,先双击运行redis-server.exe,再双击启动redis-cli.exe即可 不要关闭redis-server 服务端,双击启动redis-cli客服端 方式二:你可以在cmd两次进入redis所在的目录,然后分别启动redis-server.exe服务端再启动redis-cli客.
redis主从复制
weixin_63231007的博客
02-28 1839
redis主从复制原理以及简单演示(环境真难搭)
Redis未授权访问利用RCE进行漏洞复现
三天不打上房揭瓦的博客
12-22 2030
前言:小编也是现学现卖,方便自己记忆,写的不好的地方多多包涵,希望各位大佬多多批评指正。 目录漏洞概述影响版本环境搭建和漏洞复现1.环境启动2.下载使用RCE漏洞防御 漏洞概述 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 Redis在默认情况下,会绑定6379这个端口,如果服务器没有采用限制IP访问或在防火墙做策略,就会将Redis服务暴露在公网上,并且在没有设置密码认证的情况下(既然有密码也可进行爆破),会导
Redis服务入侵记
一枚小白的分享,不喜勿喷~
08-22 940
百度百科:Redis(Remote Dictionary Server),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。Redis因配置不当可导致攻击者直接获取到服务器的权限。利用条件:redis以root身份运行,未授权访问,弱口令或者口令泄露等。
Redis数据库漏洞总结
星落的博客
04-13 1254
Redis简介 Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。是非关系型数据库 Redis基本常识 Redis默认开放端口为6379端口,其配置文件位置为 /etc/redis/redis.conf ,Redis默认是不需要账号密码的,因此Redis的未授权漏洞一直很火。 Redis常用命令 set xl 123 ...
Redis 未授权访问 CNNVD-201511-230 漏洞复现
Senimo
05-03 2087
CNNVD-201511-230 Redis 未授权访问漏洞一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC五、参考链接六、利用工具 一、漏洞描述 Redis 是美国 RedisLabs 公司赞助的一套开源的使用 ANSIC 编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的 API。Redis 中存在未授权访问漏洞,该漏洞源于程序在默认配置下会绑定在 6379 端口,这导致其直接暴露在公网中,可以接受来自任何地址发来的请求。当程序
Redis 未授权访问漏洞利用及修复
Thunderclap的博客
06-25 4026
Redis 未授权访问漏洞利用及修复
Redis主从复制
weixin_45794666的博客
02-24 1775
Redis主从复制 未授权访问 版本3.2之前都是绑定0.0.0.0:6379所以暴露在公网 3.2之后绑定127.0.0.1相对安全,但是还是无密码可以利用ssrf进行利用(gopher,dict) 利用 注意flushall危险操作,会清空所有缓存数据。 通用 写入webshell flushall set x '<?php eval($_GET["Q"]);?>' config set dir /var/www/html/upload config set dbfilename tes
【漏洞复现】redis未授权访问
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-16 1180
Redis服务在一台服务器上可以同时启动多个Redis进程,Redis的实际处理速度则是完全依靠于主进程的执行效率。若在服务器.上只运行一个Redis进程, 当多个客户端同时访问时,服务器的处理能力是会有一-定程度的下降;即:在实际生产环境中,需要根据实际的需求来决定开启多少个Redis进程。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。....
Redis客户端新体验:RedisDesktopManager非命令行操作指南
资源摘要信息: "RedisDesktopManager-2019-5是Redis数据库的非命令行客户端工具,适用于Windows操作系统环境下的Redis数据库连接与管理。该工具不仅支持最新版本的Windows 10操作系统,同时也兼容早期版本的Windows ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姚婕妹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值