基础回顾
首先去看一下redis的配置文件
protected-mode yes
requirepass,默认是没有密码的
bind,直接将bind 127.0.0.1 -::1给注释掉,不仅仅由本地可以登录,还允许其他远程进行登录
操作步骤
先启动Redis服务,由于我们将daemonize设置为了yes,所以该服务在后台执行,而并非在终端页面上显示,然后通过ps -ef|grep redis查看是否开启成功
在客户端进行远程登录
表明登录成功
既然设置了密码,那我们就去爆破一下 ,爆破出来的密码是123456
先来简单测试一下写文件的操作
目前没有被写入进去
先来看看有没有定时任务,发现没有
我们先给它去配置定时任务
我们先去做一下确认,目前这个目录还没有,没有是因为需要继续来写,写的是一个定时任务,让定时任务再去写这个文件
然后使用命令crontab -l,发生了一些变化,最开始说没有定时任务,现在已经有定时任务了,说明已经成功写入一条定时任务了,而crontab不能解释其他的,但是能够解析我们所写入的东西
这个时候tmp目录底下已经有test.txt了,因为这个定时任务已经执行了
了 现在我们将test.txt给删除啦
然后继续执行这个定时任务
进入/var/spool/cron/root,发现就是我们redis写下来的东西
现在test.txt又有了,所以每一分钟都将会尝试写入
然后我们将这个定时任务给删除
删除之后再使用命令crontab -l 查看一下,发现已经没有定时任务了
所以只要定时任务是开着的,并且Redis已经被我们连接进去了(无论何种连接方式都可),接下来就能够做我们想做的事情了
先进到root的根目录底下,使用ls -a,将隐藏的文件也都给显示出来
进入到.ssh, 然后使用ls查看一下里面的内容文件
我们先使用windows来进行远程的连接,发现一下子就连接上了,是因为公私钥进行了交换,windows这边有私钥,linux那边有公钥,他们之间通过公私钥进行了验证,完成了这个连接,所以就不需要我们输入密码了
现在我们将linux上的公钥给删除
当我们再次远程连接的时候就需要我们去输入密码去进行连接了,我们不知道密码是多少
假设我们使用了很多种方式,比如爆破,总之没有得到远程连接的密码
但是,Redis我们爆破成功了
我们直接调用生成公私钥的操作
然后直接执行这个命令
然后我们生成成功
公钥:
前面是rsa算法,后面是加密字符串
最后面跟上的是咱们当前的用户名和主机名
私钥:
私钥放在本地客户端,公钥想办法传给我们的Linux服务器
我们直接远程登录是连接不上的,因为我们不知道密码是多少
我们现在就借助于Redis的写操作,把那串公钥直接写入,文件名都是固定的文件名,换行的目的是为了这个定时任务这一行能够独立空出来,不能够和其他行写在一起,不然的话crontab是无法进行解析的
刚开始需要我们输入密码,但接下来就不需要输入密码了
直接以root权限成功进入,提权成功,Redis服务是需要root权限才能够启动的
假如说我们通过其他方式getshell,但是只是普通权限,我们应该怎么做呢
我们去看看Redis启动没有,执行命令发现已经启动了
然后我们再去看看redis-server在哪个目录下,然后我们找到了具体的redis服务,具体位置如下图所示
我们就到达这个目录,使用命令ll看一下文件信息以及所对应的权限信息,我们主要去看一下Redis的配置文件,看看其权限信息,所有用户都有读它的配置文件的权限
所以我们就去读一下这个配置文件,读它的密码是多少,即requirepass是多少
然后我们登录上去Redis服务,然后就按照刚才的几行命令就能够提权完成了
对于修复建议,我们不仅要对Redis设置密码,而且还要设置成复杂的密码,然后将配置文件的r的那个权限给拿掉,不能够o+r,只能让root用户去读,其他任何账号都不能读取这个文件,还有一个,最好不要用root去启动Redis,最好是新建一个账号去启动redis服务,这样就不会像root一样去处理了,这样的话其他用户就没有权限往root根目录那里去写文件了