题记
最近消失了一段时间,这段时间正好就是我开始工作到我转正的期间。再加上新出的网安法让我不得不观望观望,再加上一直在写脚本,所以就停下来了。工具用多了真是会怠惰啊,我发现我一直没有写过redis的利用,不写太深,就写漏洞探测啊。
打个广告,我们公司太缺人了,欢迎大佬们私聊投简历啊!!!北京、成都都行(最好北京,我在北京呢!)
安装redis服务
在linux上执行以下命令,建议先mkdir redis一个文件夹。
# wget http://download.redis.io/releases/redis-6.0.8.tar.gz
# tar xzf redis-6.0.8.tar.gz
# cd redis-6.0.8
# make
执行完 make 命令后,redis-6.0.8 的 src 目录下会出现编译后的 redis 服务程序 redis-server,还有用于测试的客户端程序 redis-cli。这样redis服务我们已经安装完成了。
# cd src
Fofa找寻目标
Fofa搜索port="6379",确定目标开的是redis服务器。
探测是否存在漏洞
启动redis客户端,无密码连接目标主机。
./redis-cli -h 45.33.58.184
Info查看服务器、客户端、CPU、内存等信息。
也可以用nc直接连接。
漏洞后续写shell姿势请参考链接:http://blog.csdn.net/qq_41210745/article/details/103309137
参考链接
Redis 安装:http://runoob.com/redis/redis-install.html
Redis未授权访问漏洞利用及防护措施(非常详细):https://blog.csdn.net/qq_41210745/article/details/103309137
巧秒利用fofa挖到第一个漏洞:http://blog.csdn.net/hackzkaq/article/details/118731909