Redis简介、安装与未授权访问漏洞环境部署

最新推荐文章于 2024-08-18 23:50:04 发布
最新推荐文章于 2024-08-18 23:50:04 发布
阅读量1.2k 收藏 5
点赞数 1
分类专栏: 渗透学习 中间件漏洞 文章标签: Redis简介 redis安装 redis未授权访问漏洞环境部署
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41210745/article/details/103305262
版权
本文介绍了Redis的基本概念,包括其作为Key-Value数据库的角色和数据结构支持。详细阐述了Redis的安装步骤,包括下载、解压、编译和安装。此外,还警告了Redis未授权访问漏洞的严重性,如数据泄露和命令执行,并提醒用户需正确配置以防止此类风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Redis介绍

Remote Dictionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。

Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。它通常被称为数据结构服务器,因为值(value)可以是 字符串(String), 哈希(Hash), 列表(list), 集合(sets) 和有序集合(sorted sets)等类型。

Redis 是完全开源免费的,遵守BSD协议,是一个高性能的key-value数据库。

Redis 与其他 key - value 缓存产品有以下三个特点:

  • Redis支持数据的持久化,可以将内存中的数据保存在磁盘中,重启的时候可以再次加载进行使用。
  • Redis不仅仅支持简单的key-value类型的数据,同时还提供list,set,zset,hash等数据结构的存储。
  • Redis支持数据的备份,即master-slave模式的数据备份。

安装

实验环境:

1.在官网下载Redis 压缩包

最低0.47元/天 解锁文章
Redis未授权访问漏洞记录(端口:6379、Linux、Windows)
墨痕诉清风的博客
11-12 7393
这就让黑客有了可乘之机,黑客可以远程连接到该数据库。但随着现代的服务部方式的不断发展,组件化成了不可逃避的大趋势,docker就是这股风潮下的产物之一,而在这种部模式下,一个单一的容器中不会有除 redis以外的任何服务存在,包括sh和 crontab,再加上权限的严格控制,只靠写文件就很难再 getshell了,在这种情况下,我们就需要其他的利用手段了。并且可以在 /root/.ssh/ 目录下看到我们上传的 authorized_keys 文件,正是由于这个文件的存在,我们才可以在本地用私钥登录。.
redis未授权访问
m0_56578216的博客
09-02 1010
前提条件:1.
(白帽子学习笔记)未授权访问漏洞——redis环境搭建
冬的博客
08-26 480
读者需知 1、本文仅供学习使用,由于传播和利用此文所造成的损失均由使用者本人负责,文章作者不为此承担责任 2、本文参考了一些文章,如有侵权请联系本人删除 靶机:centos7 攻击机:kali 一、centos中的redis安装 1、创建redis文件夹 2、将压缩包转存到已经提前创建好的/home/redis/对应目录下 3、解压压缩包 tar zxf redis-5.0.6.tar.gz 4、进入对应目录下,对文件进行编译 <1>首先先搭建c编译环境.
Redis未授权访问漏洞复现(包括环境搭建)
smart的博客
10-19 5353
Redis未授权访问漏洞复现(包括环境搭建)Redis环境搭建一、工具二、redis安装步骤拿shell的三种姿势一、通过向Web目录中写webshell二、利用计划任务执行命令反弹shel三、写入ssh公钥,获取操作系统权限redis未授权漏洞防御手段 Redis环境搭建 一、工具 工具名称 版本 redis 3.2.9 centos 6.9 Redis官网复制redis的下载连接:http://download.redis.io/releases/redis-3.2.9.tar.
Redis未授权访问漏洞
qq_57163799的博客
08-18 992
利用redis获取主机权限的三种方式,通俗易懂、简单直接、快速有效!!!
redis未授权访问漏洞环境搭建复现-ssh免密登录
冯的博客
01-05 3504
首先,安装redis 我是直接sudo apt-get redis 安装的 然后启动redis 直接找到/usr/bin目录下的redis-server和redis-cli 测试连接成功 因为我是腾讯云的服务器,想要本地远程访问6379端口需要具备三个条件: 1配置规则 2 配置防火墙,我这里因为只是测试一下就直接关闭了防火墙,这里使用ufw disable关闭防火墙,使用ufw status 查看是否成功 3 第三个是要去redis.conf中配置一下 这里原本是..
Redis未授权漏洞环境搭建复现问题解决
身高两米不到的博客
03-17 734
一:搭建环境卸载重装几次,翻看几十篇文章最后复现成功,因此记录一下 环境VMware,两台主机使用NAT模式连接 Kali 192.168.209.129 CentOS7 192.168.209.128 二:CentOS搭建redis,以root权限开启虚机 (1).下载安装包 wget http://download.redis.io/releases/redis-4.0.6.tar.gz 解压 tar -zxvf redis-4.0.6.tar.gz (2).red
Redis未授权访问漏洞利用及防护措施(非常详细)
7Riven's blog
11-29 1万+
靶机(centos6.6):192.168.109.150 攻击机(kali-linux 2019.3):192.168.109.148 漏洞环境配置部见:https://blog.csdn.net/qq_41210745/article/details/103305262 1.nmap存活主机扫描 2.发现疑似目标主机,扫描端口服务:找到目标端口6379 3.ka...
Redis未授权漏洞检测方法+Redis基础+Redis环境搭建+Redis恶意利用
t小小小白的博客
08-23 2492
Redis未授权漏洞检测方法+Redis基础+Redis环境搭建+Redis恶意利用作者:山丘安全攻防实验室 O8前言一、Redis命令基础二、Redis漏洞未授权挖掘二、Redis环境搭建概述1)环境概述2)环境搭建三、漏洞利用1)未授权漏洞利用说明2)root权限漏洞利用1、创建ssh公匙2、创建一个O8.txt密匙3、清除Redis所有数据4、 Redis创建恶意key5、修改Redis路...
centos7安装redis环境
诗雨远方的博客
11-09 1298
centos7安装redis环境 一、安装os是centos7,安装redis是目前最新版4.0.2,安装的前提条件,需要安装gcc,使用命令 yum install gcc-c++ 二、下载redis-4.0.2.tar.gz,使用命令 wget http://download.redis.io/releases/redis-4.0.2.tar.gz 三、解压,使用命令
Redis未授权访问漏洞搭建复现
m0_58595840的博客
01-05 2940
Redis未授权访问漏洞利用方式总结(含靶场搭建)
漏洞复现之Redis未授权访问
m0_56190544的博客
09-13 2888
本文详细介绍了redis未授权访问漏洞的原理以及利用方法,供大家参考学习
Redis漏洞大全~讲解最全的漏洞利用方法
weixin_67832625的博客
08-11 2645
Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivota赞助。漏洞原理。
未授权访问漏洞-Redis未授权访问漏洞
HAKUNAMATATATTA的博客
11-29 4184
未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面配置不当导 致其他用户可以无需认证授权直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。Redis 是完全开源免费的,一个灵活的高性能 key-value 数据结构存储,可以用来作为数据库、缓存和消息队列。
未授权访问漏洞总结
热门推荐
七月_的博客
08-20 2万+
Web端 http://219.141.242.77:7777/pe-admin/ #后台未授权访问 http://219.141.242.77:7777/pe-admin/main.jsp 参考:华泰保险某系统漏洞打包(未授权访问\弱口令\Getshell) 服务端 未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被...
redis未授权
weixin_47224111的博客
10-16 2983
0X01redis介绍 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set()、zset(sorted set –有序)和hash(哈希类型)。 redis很大程度补偿了memcached这类key/value存储的不足,在部分场合可以对关系数据库起到很好的补充作用。它提供了Java,C/C++,C#,PHP,JavaScript,Perl,Object-C,Python,Ruby,Erlang等客户
Linux下Redis未授权访问getshell三种方法 (1、秘钥登录)
daxi0ng的博客
11-26 2443
介绍: REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。 Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 它通常被称为数据结构服务器,因为值(value)可以是 字符串(String), 哈希(H...
靶机DC-2练习:通过rbash绕过获取shell,使用git命令提权
7Riven's blog
12-24 1912
1.主机发现 靶机IP地址:192.168.109.163 2.扫描目标服务版本 3.发现80端口,访问主页 访问失败 很显然,本地不解析该域名,在/etc/hosts文件中添加即可 再次刷新网页 单击首页左下角 发现flag1:出现疑似用户名cewl,登录后找下一个flag 网页其他模块未发现有效信息,接下来扫描一下后台目录 4.工具扫描后台目...
redis未授权访问漏洞提权
最新发布
01-11
### Redis未授权访问漏洞的提权方法 对于Redis未授权访问漏洞,攻击者可以通过连接到开放端口并执行命令来获取服务器控制权限。如果Redis实例配置不当,允许远程客户端无需身份验证即可访问,则存在潜在的安全风险。 #### 提权过程概述 当Redis以root用户运行时,攻击者可以利用`config set dir /path/to/dir` 和 `save` 命令将恶意脚本保存至特定路径下,并通过加载该脚本来实现提权操作[^1]。然而,这种做法严重违反安全最佳实践,在生产环境中应严格避免。 为了防止此类情况发生,建议采取以下预防措施: - **启用密码保护**:确保在配置文件中设置了强效的`requirepass`参数,以此强制所有客户端提供正确的认证凭证才能继续交互。 ```bash requirepass your_strong_password_here ``` - **绑定本地地址**:除非必要,否则不应让Redis监听外部网络接口;仅限于localhost (127.0.0.1 或 ::1),这能有效减少来自互联网上的非法尝试。 - **防火墙规则设定**:应用严格的入站流量过滤策略,只准许可信IP范围内的请求到达Redis服务端口,默认情况下为6379。 - **定期更新软件版本**:保持使用最新稳定版的Redis程序包,及时修补已知缺陷和安全隐患。 - **监控日志记录**:部有效的审计机制跟踪异常活动模式,以便快速响应任何可疑行为。 ```python import redis r = redis.Redis(host='localhost', port=6379, password='your_strong_password') try: response = r.ping() except Exception as e: print(f"Failed to connect: {e}") else: if response: print("Connection successful!") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值