背景为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单。对于黑名单之内的 IP ,拒绝提供服务。架构实现 IP 黑名单的功能有很多途径:1、在操作系统层面,配置 ipta...
redis未授权访问总结
0×00 前言 好久没更新博客了,这两天在看redis的东西就来更新一篇渗透相关的。 redis未授权访问导致远程命令执行是比较久的漏洞了,15年11月左右爆出来的。 这个洞在内网的时候比较...
redis利用姿势收集
linux利用(转自wooyun)redis的exploit,完全不需要flushall破坏数据场景,redis-cli set 1 'ringzero',这样可以控制第一条记录,就能保证你的内容始终...
xss自动化内网渗透
利用xss或者社工让对方点我的链接,然后利用js自动化攻击内网redis,利用redis写任务计划批量反弹shell。js扫内网6379不太好实现,就不进行端口探测了,直接对整个网段执行一遍exp利用...
Learn Redis & Getshell via Redis
Learn Redis & Getshell via Redis 2016-07-16 #redis #redis getshell 前言redis是一个NoSQL数据库,也就是非关系型数据库...
Redis和SSRF
你以为bind了127.0.0.1就安全了么? 本地写文件 这个爆出来很久了。原理就是利用Redis的数据持久化。设置持久化文件的名称和路径,然后在Redis中写入文件内容,给Redis发送持久化的命...
『每周译Go』YYDS! Go 如何编写简单的内存键值数据库
从 Postgres 到 Redis,再到 Prometheus,我们都使用并从事过各种数据库的开发。我花了很多时间来阅读其中一些数据库的源代码,对于那些像我一样好奇的少数人来说,他们有兴趣学习如何编...
[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解
在BUU做的复现<?phpfunction check_inner_ip($url){ $match_result=preg_match('/^(http|https|gopher|dict)?...
硬核 | Redis 布隆(Bloom Filter)过滤器原理与实战
来自公众号:码哥字节在Redis 缓存击穿(失效)、缓存穿透、缓存雪崩怎么解决?中我们说到可以使用布隆过滤器避免「缓存穿透」。码哥,布隆过滤器还能在哪些场景使用呀?比如我们使用「码哥跳动」开发的「明日...
黑客是如何通过开放的Redis服务入侵服务器的
0x00 简要说明百度百科:Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Va...
【漏洞预警】Redis注入漏洞(CVE-2022-24735)
01漏洞描述 Redis LabsRedis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储...
Redis slave 模式下的漏洞利用
山东新潮信息专业|专注|卓越|安全声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担...