Redis未授权访问漏洞

原创于 2024-08-04 17:31:04 发布 · 297 阅读

·

7

·

CC 4.0 BY-SA版权

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

文章标签：

#redis #数据库 #缓存 #web安全

未授权访问漏洞专栏收录该内容

12 篇文章

订阅专栏

1.Redis未授权访问漏洞

Redis 默认情况下，会绑定在 8.0.0.0:6379 ，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证(一般为空)的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下，利用 Redis 自身的提供

GV的config 命令，可以进行写文件操作，攻击者可以成功将自己的ssh公钥写入目标服务器的/root/.ssh 文件夹的 authotrizedkeys 文件中，进而可以使用对应私钥直接使用ssh服务登录目标服务器。

搭建靶场环境：

进入目录:cd/vulhub-master/redis/4-unacc

启动:docker-compose up-d

检查:docker-compose ps

vi docker-compose.yml //查看端口和版本号

安装redis工具

在kali上安装redis进行服务链接

#安装redis

apt-get install redis

#redis使用

redis-cli -h 192.168.30.137 -p 6379

可以直接连接执行命令且不需要认证说明存在未授权访问漏洞----->下载以下攻击项目：
https://github.com/n0b0dyCN/redis-rogue-server

使用工具执行以下命令获取目标的命令执行环境，交互时输入i键会获取Shell环境

然后就可以输入命令获取信息了

博客等级

码龄3年

31
原创

363
点赞

212
收藏

246
粉丝

关注

私信

热门文章

分类专栏

展开全部收起

上一篇：: 常见的CMS漏洞

下一篇：: MongoDB未授权访问漏洞

最新评论

今天做了一个好玩的xxe靶机
阿呆本呆.: 为什么我最后打开php那个显示不一样，出不来
今天做了一个好玩的xxe靶机
阿呆本呆.: Warning: Use of undefined constant _ - assumed '_' (this will throw an Error in a future version of PHP) in /box/script.php on line 3 Warning: Use of undefined constant _ - assumed '_' (this will throw an Error in a future version of PHP) in /box/script.php on line 3 Warning: A non-numeric value encountered in /box/script.php on line 3 Warning: Use of undefined constant _ - assumed '_' (this will throw an Error in a future version of PHP) in /box/script.php on line 3 Warning: A non-numeric value encountered in /box/script.php on line 3 Warning: Use of undefined constant _ - assumed '_' (this will throw an Error in a future version of PHP) in /box/script.php on line 3 Warning: A non-numeric value encountered in /box/script.php on line 3 Warning: Use of undefined constant _ - assumed '_' (this will throw an Error in a future version of PHP) in /box/script.php on line 3 Warning: A non-numeric value encountered in /box/script.php on line 3 Warning: Use of undefined constant _ - as
sqli-labs靶场全关解题过程
CSDN-Ada助手: 不知道 MySQL入门技能树是否可以帮到你：https://edu.csdn.net/skill/mysql?utm_source=AI_act_mysql
墨者学院SQL靶场练习
CSDN-Ada助手: 恭喜你这篇博客进入【CSDN每天最佳新人】榜单，全部的排名请看 https://bbs.csdn.net/topics/619183244。

大家在看

最新文章

目录

展开全部

收起

评论

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。