Redis未授权访问漏洞

最新推荐文章于 2024-02-26 19:40:54 发布
VIP文章 最新推荐文章于 2024-02-26 19:40:54 发布
阅读量392 收藏
点赞数 1
分类专栏: web安全 文章标签: redis 未授权访问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010651541/article/details/79904672
版权

自己学习简单记录下。

1. 安装及介绍

centos下安装及启动:

#安装
yum install redis
#启动
systemctl start redis.service

2. 简单介绍

查看开启的端口

netstat -ano

这里写图片描述

看到默认情况下,6379端口对所有外部IP开放。

查看redis 配置文件

whereis redis 

cat /etc/redis.conf

实际默认配置如下:

最低0.47元/天 解锁文章
Venscor
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
redis_授权访问
scu_hacker博客
01-13 7666
本文介绍redis授权访问的4种利用方式
Redis授权访问
xuanlanxiao的博客
05-10 424
攻击者在授权访问Redis的情况下,利用Redis自身提供的config命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的/root/.ssh/authotrized_keys文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器。可以简单看一下这些,原因很简单,因为centos7自身存在防火墙,会将redis默认端口6379隐藏,不允许外界访问,所以这里kali访问失败,我们关掉centos7的防火墙再试一试。自己搭建的靶场可以拉拽redis压缩包进入虚拟机里。
redis授权访问
weixin_65219040的博客
06-18 8826
redis
Redis授权访问漏洞详解(全面)
最新发布
m0_64481831的博客
02-26 1020
Redis是一款内存高速缓存的数据库,是一款K-V型数据库,它的所有键值都是用字典来存储的。其中它的value支持多种数据类型,包括String、List、Set、Zset和Hash。Redis默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问,就会将Redis服务暴露在公网上;并且Redis默认情况是空密码连接在服务器以root身份运行Redis时这将导致任意用户可以访问目标服务器下授权访问Redis以及读取Redis数据。
Redis 授权访问
qq_61553520的博客
05-17 298
Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问等,Redis服务将会暴露到公网上,以及在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下进行授权访问Redis
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
本文主要给大家介绍了关于Redis授权访问漏洞利用的相关内容,文中对该漏洞进行了详细,并给出了相对应的修复/安全建议,下面话不多说了,来一起看看详细的介绍吧。 一、漏洞介绍 Redis 默认情况下,会绑定在 0.0....
E044-服务漏洞利用及加固-利用redis授权访问漏洞进行提权.pdf
12-02
E044-服务漏洞利用及加固-利用redis授权访问漏洞进行提权
Redis授权访问配合SSH key文件利用详解
09-09
主要给大家介绍了关于Redis授权访问配合SSH key文件利用的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Redis授权访问漏洞复现与利用
Forget_liu的博客
06-07 2267
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。
redis 授权访问拿shell
blackguest07的博客
03-18 847
redis授权访问拿shell
redis授权getshell四种方式
BING
04-24 3247
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。在两个Redis实例设置主从模式的时候,Redis的主机实例可以通过FULLRESYNC同步文件到从机上,然后在从机上加载so文件,我们就可以执行拓展的新命令了。
redis授权访问利用汇总
今天是几号的博客
03-17 931
原理就是在数据库中插入一条数据,将本机的公钥作为value,key值随意,然后通过修改数据库的默认路径为/root/.ssh和默认的缓冲文件authorized.keys,把缓冲的数据保存在文件里,这样就可以在服务器端的/root/.ssh下生成一个授权的key。/var/spool/cron/ 这个目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名,比如tom建的crontab任务对应的文件就是/var/spool/cron/tom。
redis授权访问漏洞(三种方法)
网安小白的博客
08-30 3814
redis授权访问复现,含写入webshell、linux计划任务反弹shell、写入ssh公钥实现ssh登录三种方法~
redis授权访问漏洞修复
11-03
为修复Redis授权访问漏洞,可以采取以下措施: ``` 代码块1: 1. 修改redis.conf配置文件,将bind 127.0.0.1改为bind 0.0.0.0,这样Redis只会监听本机的IP地址,而不是所有的IP地址。 2. 设置Redis密码,可以在redis.conf配置文件中设置requirepass参数,或者在Redis启动后使用config set命令设置。 3. 使用iptables等防火墙软件,限制Redis服务只能被信任的IP地址访问。 ``` 相关问题:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值