Redis未授权+CVE-2019-0708组合拳利用

  • A+
所属分类:安全文章
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


本文来自好大哥@我不想把微信名字取的太长投稿,简单明了,思路清晰,只是手法有些过于粗暴,在实战测试中还需谨慎使用,不要得不偿失了!!!


0x01 简介

本次测试为实战测试,测试环境是授权项目中的一部分,敏感信息内容已做打码处理,仅供讨论学习。请大家测试的时候,务必取得授权。


拿到授权项目的时候,客户只给我了一个公司名字,这里以某某公司代替。


0x02 信息搜集

老办法,先是子域名扫描,然后目录扫描,发现了个鸡毛,啥利用点也没有,而且是云主机。进一步探测资产,欧力给,发现了CVE-2019-0708。targetr是windows server 2008 r2系统。


0x03 Getshell

心想,发现了CVE-2019-0708,这样shell总稳了吧。这时迟那时快,拿出我的大保健msf,梭哈一波。卧槽,居然发现不能利用,探测到有漏洞,但是创建session失败。

Redis未授权+CVE-2019-0708组合拳利用


不甘心,set  target也没用,攻击了20多次,还是一样的错误,害苦了客户的靶机,跟着蓝屏20多次。


继续查看,发现有redis资产,尝试弱口令看看,居然密码是123123,先查看一下信息:

Redis未授权+CVE-2019-0708组合拳利用


这里利用有个难点,就是我们根本不知道网站的实际物理路径,尝试报错或者物理路径爆破,无果~~~,所以无法通过写一句话等形式拿下Webshell;这里也没有像linux一样的反弹利用;也没有计划任务可写。


经过前期的信息收集发现是windows server 2008 r2,我们可以写一个启动木马的脚本放到启动里面,然后利用CVE-2019-0708“强迫”主机重启。


说干就干,这里用powershell的cs马(请注意免杀,这里不讨论)。先设置redis的工作目录为windows的启动目录,然后写cs的马,最好记得务必save,否则一直会在内存中。

Redis未授权+CVE-2019-0708组合拳利用


利用CVE-2019-0708“强迫”主机重启。可以看到已经顺利上线。

Redis未授权+CVE-2019-0708组合拳利用


经过实测,这个启动项是可以过国内某杀软的,但是在调用cmd时会被拦截。

Redis未授权+CVE-2019-0708组合拳利用

这个涉及到免杀问题,待续。

本文始发于微信公众号(贝塔安全实验室):Redis未授权+CVE-2019-0708组合拳利用

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: