dahege666的博客

一、测试环境redis主机：kali 192.168.1.138redis从机：centos7 192.168.1.27二、测试过程1.分别安装并开启redis数据库，注意4.X以上需要redis.conf关闭保护模式2.在kali上连接靶机redis服务，并设置主从状态（将kali设置为redis主机）3.在kali上编译恶意代码git clone https...

一、测试环境靶机 centos7 192.168.1.27攻击机 kali 192.168.1.138二、测试过程服务器配置phpstudy ，截图略过1. 下载Phpstudy for Linux的bin文件操作命令: wget -c http://lamp.phpstudy.net/phpstudy.bin2. 配置phpstudy.bin文件的可执...

一、测试环境靶机 centos7 192.168.1.27攻击机 kali 192.168.1.138二、测试过程1.先用kali监听接收shell的端口：2.连接redis,创建一个key x，值为反弹shell语句，修改备份目录为linux计划任务目录，修改备份文件名为 root,以root身体执行计划任务3.执行完后回到监听终端页面，但是反弹的...

一、测试环境靶机 centos7 192.168.1.27攻击机 win10 xshell二、测试过程1.利用xshell生成公钥文件-新建用户密钥生成向导2.点击下一步3.输入密钥名称和密码，点击下一步公钥已生成4.将公钥文件上传到服务器并写入到authorized_keys文件5.利用xshell链接即可6.点击连接，...

一、测试环境靶机 centos7 192.168.1.27攻击机 kali 192.168.1.138二、测试过程1. 本地⽣成公钥⽂件：需要为我们的公钥⽂件设置⼀个私钥,公钥⽂件默认路径：/root/.ssh/id_rsa.pub2.查看公钥文件3.修改redis备份目录和备份文件，做完测试后恢复4.通过未授权访问redis5.复制...

一、漏洞介绍Redis因配置不当可以导致未授权访问，被攻击者恶意利用。当前流行的针对Redis未授权访问的一种新型攻击方式，在特定条件下，如果Redis以root身份运行，黑客可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器，可导致服务器权限被获取和数据删除、泄露或加密勒索事件发生，严重危害业务正常服务。　　部分服务器上的Redis 绑定在 0.0.0.0:6379，并且没有...

一、redis介绍Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。从2010年3月15日起，Redis的开发工作由VMware主持。从2013年5月开始，Redis的开发由Pivotal赞助。Redis因配置不当可以未授权访问。攻击者无需认证访问到内部数据，可导致敏感信息泄露，也可以恶意执行flush...