做网站给菠菜引流,企业网站做seo的必要性,建设一个直播网站多少钱,在线自助设计平台一、前言
声明#xff1a;本文仅供技术交流使用#xff0c;严禁采用本文的方法进行任何非法活动。
上周新来的同事分享Redis的原理和机制#xff0c;想起2017年的时候测试环境Redis被攻击#xff0c;最后只能重新安装服务器#xff0c;今天试验一把利用Redis漏洞进行攻击…一、前言
声明本文仅供技术交流使用严禁采用本文的方法进行任何非法活动。
上周新来的同事分享Redis的原理和机制想起2017年的时候测试环境Redis被攻击最后只能重新安装服务器今天试验一把利用Redis漏洞进行攻击只有理解了别人是怎么攻击的才能更好地进行防范。
二、被攻击机器环境搭建
IP: 120.55.95.55OS: Linux CentOS7.6 Redis5.0.9
1、编译安装Redis 注需要安装tcl,并且在编译时指定MALLOClibc否则会各种报错。
2、修改redis.conf
#bind 127.0.0.1protected-mode nodaemonize yes注这里以非保护模式启动RedisRedis4.0以后版本对安全有所加强默认安装好后不将保护模式去掉远程是无法连接的。3、启动redis ./redis-server ../redis.conf
三、攻击机器环境搭建
IP:118.178.255.158OS:Red Hat Enterprise7.9
1、安装Redis客户端 2、测试Redis连接是否OK
redis-cli -h 120.55.95.55
四、进行攻击
1、生成本机公钥
ssh-keygen
2、将公钥文件写入Redis 注第一步将公钥文件公钥内容前后分别加上两个换行否则上传的公钥无效第二步将处理后的公钥内容设置到Redis Key为crackit中去。
3、将公钥写入authorized_keys文件 注上面语句用于动态修改Redis数据存放路径及文件名。
~/.ssh/authorized_keys内容如下 注数据文件中本来key和value是连着的但我们写入crackit的值时加了两个换行符这样公钥不会被key干扰就是有效的。
4、使用自己的私钥登录被攻击机器 ssh root120.55.95.55 然后你想做什么都可以了。。。。
五、真实案例
1、2017年时候测试环境安装的是Redis4.0版本或者更低,记不太清了默认安装6379端口可以远程访问然后被黑了被人家做为挖矿机他们太狠了一定要把我CPU耗尽搞得别的程序都跑不了这样别人不就发现了吗不能控制CPU的占用情况吗当时只截取了Redis被注入一段代码。 2、刚申请的测试机120.55.95.55立马被其他人黑了
机器Load Redis被注入
注忘记截屏了重启了Redis那个注入的key找不到了
信任登录被加了其它公钥 注这台机器先放着给他用两天有空再观察一个情况今天还要做系统发布。
