​ Redis未授权+CVE-2019-0708组合拳利用

1337163122

​Redis未授权+CVE-2019-0708组合拳利用原创 3had0w [url=]潇湘信安[/url] 今天
收录于话题
#实战案例
44个

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。                         请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

本文来自好大哥@我不想把微信名字取的太长投稿，简单明了，思路清晰，只是手法有些过于粗暴，在实战测试中还需谨慎使用，不要得不偿失了！！！

0x01 简介
本次测试为实战测试，测试环境是授权项目中的一部分，敏感信息内容已做打码处理，仅供讨论学习。请大家测试的时候，务必取得授权。

拿到授权项目的时候，客户只给我了一个公司名字，这里以某某公司代替。

0x02 信息搜集
老办法，先是子域名扫描，然后目录扫描，发现了个鸡毛，啥利用点也没有，而且是云主机。进一步探测资产，欧力给，发现了CVE-2019-0708。targetr是windows server 2008 r2系统。

0x03 Getshell
心想，发现了CVE-2019-0708，这样shell总稳了吧。这时迟那时快，拿出我的大保健msf，梭哈一波。卧槽，居然发现不能利用，探测到有漏洞，但是创建session失败。
​

不甘心，set  target也没用，攻击了20多次，还是一样的错误，害苦了客户的靶机，跟着蓝屏20多次。

继续查看，发现有redis资产，尝试弱口令看看，居然密码是123123，先查看一下信息：
​

这里利用有个难点，就是我们根本不知道网站的实际物理路径，尝试报错或者物理路径爆破，无果~~~，所以无法通过写一句话等形式拿下Webshell；这里也没有像linux一样的反弹利用；也没有计划任务可写。

经过前期的信息收集发现是windows server 2008 r2，我们可以写一个启动木马的脚本放到启动里面，然后利用CVE-2019-0708“强迫”主机重启。

说干就干，这里用powershell的cs马（请注意免杀，这里不讨论）。先设置redis的工作目录为windows的启动目录，然后写cs的马，最好记得务必save，否则一直会在内存中。
​

利用CVE-2019-0708“强迫”主机重启。可以看到已经顺利上线。
​

经过实测，这个启动项是可以过国内某杀软的，但是在调用cmd时会被拦截。
​

这个涉及到免杀问题，待续。。。
​