汇总-redisroot漏洞-小白漏洞详细教程

0x00漏洞简介

CNVD-2020-10487 -ajp文件读取漏洞

0x01开始

某次对一个目标进行测试，用扫描搜集的C段资产，发现某个IP开放了22，6379，8009等端口

redis漏洞_redis主从复制漏洞_redisroot漏洞

看到8009就想到了-ajp，于是使用nmap确认一下

接着直接用exp读取web.xml文件试试看，成功

redis漏洞_redis主从复制漏洞_redisroot漏洞

想到开了redis，那会不会有redis配置文件呢

redisroot漏洞_redis漏洞_redis主从复制漏洞

成功获取到了密码，于是拿着去连一下redis：

redisroot漏洞_redis漏洞_redis主从复制漏洞

哦豁，密码错误，仔细一看，密码像是加过密的。到了这里还是没有放弃,找个了web.xml文件看了一下，-class这个标签就是标记的相应的类，可以直接去相应的目录下面就能找到.class文件

redis漏洞_redis主从复制漏洞_redisroot漏洞

在上找到一个可以下载class并且反编译的工具：

redis主从复制漏洞_redis漏洞_redisroot漏洞

然而使用的时候又出了问题

redis漏洞_redis主从复制漏洞_redisroot漏洞

脚本已经跑完了，提示把文件都下载到了一个目录里面，但是并没有生成那个目录。这时候想到用抓ajp的数据包看看是什么情况，发现所有请求都是404，连web.xml都没有

redisroot漏洞_redis主从复制漏洞_redis漏洞

是不是脚本使用姿势不对，漏掉了哪个参数还是怎么了，每次都是请求index.txt。猜测可能是遍历的目录不对，抱着试试的想法去改了一下代码，搜索index.txt，手动把index.txt改成了ROOT

-\\.py

redisroot漏洞_redis主从复制漏洞_redis漏洞

再次运行脚本，把xml里面的class文件给下回来了

redis主从复制漏洞_redis漏洞_redisroot漏洞

把class文件拖入jd-gui直接搜索和，找到了对应的加解密类

redis漏洞_redisroot漏洞_redis主从复制漏洞

是des加解密，还有密钥也在里面，代码看了一下，搞不清楚是怎么加解密的，但是看到了方法，就把加解密用到的代码都扣出来，直接调用这个方法进行解密，成功解出了redis密码

redis漏洞_redis主从复制漏洞_redisroot漏洞

拿着解出来的密码连接redis

redisroot漏洞_redis主从复制漏洞_redis漏洞

最后使用主从复制拿到了权限

redis漏洞_redisroot漏洞_redis主从复制漏洞

0x02结束

网络安全学习，我们一起交流