[天翼杯 2021]esay_eval——Redis(主从复制)提权初见

原创 已于 2023-04-18 23:42:36 修改 · 1k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#redis #php #web安全

于 2023-04-18 19:59:50 首次发布
文章详细介绍了如何利用PHP的反序列化漏洞和特定的类方法绕过安全检查,结合Redis的exp.so模块进行远程命令执行。首先通过构造特定的POP链来触发__destruct和__call方法,然后利用vim缓存泄露获取密码信息,最后上传exp.so模块到Redis并执行命令获取权限。

NSSCTF

[天翼杯 2021]esay_eval

Redis主从复制初见

上来先是反序列化,看代码:

<?php
class A{
   
   
    public $code = "";
    function __call($method,$args){
   
   
        eval($this->code);
        
    }
    function __wakeup(){
   
   
        $this->code = "";
    }
}

class B{
   
   
    function __destruct(){
   
   
        echo $this->a->a();
    }
}
if(isset(
最低0.47元/天 解锁文章
redis漏洞利用总结
渗透之路,攻防之间皆学问
10-17 7258
redis属于非关系型数据库,在开启后默认监听端口为6379。若Redis配置不当可导致攻击者直接获取到服务器的限。利用条件:redis以root身份运行,存在未授访问,弱口令或者口令泄露等主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(master),后者称为从节点(slave);数据的复制是单向的,只能由主节点到从节点。Redis的持久化使得机器即使重启数据也不会丢失,因为redis服务器重启后会把硬盘上的文件重新恢复到内存中。
[天翼 2021]esay_eval
2303_77961060的博客
06-12 1355
成功返回该页面后就可以传入一句话木马,再连接蚁剑,但是限不够,访问不了根目录,查看config.php.swp文件,涉及到vim泄露,还原文件后得知是redis数据库,给了root账户的密码,使用redis插件进行连接,连接后上传一个so文件用来进一步,加载该so文件后就可以进行命令执行。PREG_SET_ORDER: 结果排序为$matches[0]包含第一次匹配得到的所有匹配(包含子组), $matches[1]是包含第二次匹配到的所有匹配(包含子组)的数组,以此类推。
[天翼 2021]esay_eval-----记Redis
qq_73767109的博客
06-25 360
一旦攻击者获得了访问限,他们就可以上传 exp.so 文件到 Redis 服务器中,并使用 Redis 的 module load 命令加载这个文件。exp.so 文件是一个 Redis 模块,它供了一些命令和功能,可以让攻击者在 Redis 服务器中执行任意代码,从而获得服务器的控制。Vim缓存泄露指的是当用户在Vim编辑器中打开了一个文件,并进行了修改,然后使用了Vim或其他工具关闭了该文件,但Vim缓存中仍然保留着该文件的副本,从而导致该文件中的敏感信息(例如密码、私密密钥等)泄露的漏洞。
渗透测试-Redis未授访问漏洞利用
cdyunaq的博客
12-24 1421
危害 信息泄露 系统信息 redis保存的信息 写文件GetShell 在Web目录中写入webshell 写入SSH公钥直接连接 写入计划任务(corntab)反弹shell 高级利用 主从复制getshell(4.x version < 5.0.5) 模块加载执行命令(> 4.x) 环境准备 机型 ip 服务 版本 攻击机
[天翼 2021]esay_eval(复现)
qq_53460654的博客
12-17 3184
<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a->a();
2021 天翼easy_eval
m0_56059226的博客
10-04 2452
打开环境 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a-&gt
Redis主从同步
mfcheer
01-21 672
全量同步Redis全量复制一般发生在Slave初始化阶段,这时Slave需要将Master上的所有数据都复制一份。具体步骤如下:   1)从服务器连接主服务器,发送SYNC命令;   2)主服务器接收到SYNC命名后,开始执行BGSAVE命令生成RDB文件并使用缓冲区记录此后执行的所有写命令;   3)主服务器BGSAVE执行完后,向所有从服务器发送快照文件,并在发送期间继续记录被执行的
Redis主从复制
2301_80224556的博客
08-12 883
1. 核心概念唯一负责处理写操作(写入、修改、删除数据)。它是数据的威来源。负责处理读操作。其核心功能是精确复制主节点上的数据,并保持与主节点的数据一致性。从节点上的数据是主节点数据的实时副本。2. 数据复制机制当一个从节点启动并配置指向主节点后,它会首先执行全量同步:主节点将其当前完整的数据集(RDB 快照)发送给从节点。全量同步完成后,进入增量同步阶段:主节点持续将其接收到的所有写命令(记录在复制缓冲区中)实时或准实时地异步传播给所有从节点执行。这使得从节点的数据能够持续地、自动地。
python脚本实现Redis未授批量
09-09
主要给大家介绍了关于利用python脚本实现redis未授批量的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
- Redis/Postgre数据库
acepanhuan的博客
03-01 793
- Redis/Postgre数据库
【红蓝对抗】蓝队视角下的企业安全运营
瓦罗兰特顶级C位的博客
05-24 457
蓝队视角下的企业安全运营
浅谈Linux下的redis攻击
qq_64201116的博客
10-17 5509
redis服务ip:192.168.65.163 (CentOs)redis服务ip:192.168.65.158 (Ubuntu)kali攻击机:192.168.65.158。
完全复制一个dict_Redis主从复制getshell技巧
weixin_33209042的博客
01-02 321
Redis未授漏洞常见的漏洞利用方式:Windows下,绝对路径写webshell 、写入启动项。Linux下,绝对路径写webshell 、公私钥认证获取root限 、利用contrab计划任务反弹shell。基于Redis主从复制的机制,可以完美无损的将文件同步到从节点。这就使得它可以轻易实现以上任何一种漏洞利用方式,而且存在着更多的可能性等待被探索。一、Redis 主从复制一...
Redis主从复制实现RCE
rev1ve的博客
12-01 4477
主从复制是指将一台Redis主服务器的数据,复制到其他的Redis从服务器。前者称为主节点(master),后者称为从节点(slave);主服务器可以进行读写操作,当发生写操作时自动将写操作同步给从服务器,而从服务器一般是只读,并接受主服务器同步过来写操作命令,然后执行这条命令。 也就是说,所有的数据修改只在主服务器上进行,然后将最新的数据同步给从服务器,这样就使得主从服务器的数据是一致的。建立主从复制,有3种方式:PS:建立主从关系只需要在从节点操作就行了,主节点不用任何操作我们先在同一个机器开两个red
Redis漏洞及搭配ssrf利用的姿势
qq_71467825的博客
06-24 2832
这篇博客就总结到这里,下次把经典一点的SSRF题目都总结到一起再学习一波,冲冲冲!!!
利用Redis获取限的多种方式
无问社区的博客
08-17 1125
更多实战内容,可前往无问社区查看。Redis是我们在实战中经常接触到的一款数据库,因其在前期打点中被利用后可直接影响服务器安全所以在攻防过程中也备受红队关注,在本文中会重点分享一下与之有关的一些攻击技术,同时探究其中的技术原理。由于Redis的语法不同于其他数据库,所以更为详细的语法介绍建议各位前往Reids官网(https://redis.io/commands?from=QuickRedis)进行查阅。
玄机——第二章日志分析-redis应急响应 wp
焦虑的焦虑
06-27 4129
第二章日志分析-redis应急响应
esay Sass运用
最新发布
11-05
以下是关于easy Sass使用教程的相关信息: ### 安装 在VSCode中安装easy Sass插件。 ### 常见问题及原因 使用的时候可能会示错误,如“EasySass: could not generate CSS file. See Output panel for details”,不过引用中未及具体错误原因[^2]。 ### 存在的局限性 使用easy sass自动编译产生的文件不支持sass的最新语法(可能是该插件支持的是node - sass,是不包含最新语法,而下载的是dart - sass是包含最新语法的),例如模块化(@use)语法就不支持,会出现相应示[^1]。 ### 结合Sass的使用步骤 Sass是一种CSS的开发工具,是CSS预处理器和扩展语言。版本3.0之前的后缀名为.sass,而版本3.0之后的后缀名.scss。使用Sass结合easy Sass可按以下步骤: 1. **安装Sass**:在命令行执行`npm install -g sass` [^3]。 2. **编写文件**: - **scss文件示例**: ```scss $bgcolor:lightblue; .dv{ background-color:$bgcolor; width: 100px; height: 200px; } ``` - **html文件示例**: ```html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8" /> <meta http-equiv="X-UA-Compatible" content="IE=edge" /> <meta name="viewport" content="width=device-width, initial-scale=1.0" /> <title>Document</title> <link rel="stylesheet" href="out.css"> </head> <body> <div class="dv">我是菜鸟</div> </body> </html> ``` 3. **编译与引入**:编写好scss文件后,借助easy Sass插件可自动编译生成对应的CSS文件,然后在HTML文件中引入生成的CSS文件 [^3]。
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leafzzz__

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值