默认 redis 安装存在漏洞, 可以直接 获取 root 权限
本文共 815 字,大约阅读时间需要 2 分钟。
转载地址:http://www.2cto.com/Article/201512/454117.html
我假装闲来无事地在 VPS 上监听了某一个端口,然后突然反弹过来一个 shell。嗯,假装是不知道哪年哪月的一个 crontab 后门再次把我带入了 Bilibili 的内网。
内网存在许多 redis 未授权访问,为什么不问问神奇海螺呢?详细说明:
我假装闲来无事地在 VPS 上监听了某一个端口,然后突然反弹过来一个 shell。
估计是之前留的 crontab 后门,不过这不重要。
前几天爆出了 redis 未授权访问然后写 authorized_keys 来强行拿权限,总之原理是如此如此,可以看 http://www.2cto.com/Article/201512/454361.html 来了解具体利用。 在 B 站内网扫描了一下 6379 端口,然后写了一个 sh 脚本来自动化执行。
你可能感兴趣的文章
CCKS 2019 | 百度 CTO 王海峰详解知识图谱与语义理解
查看>>
领域应用 | HiTA知识图谱 “药品-适应证”图谱数据发布!
查看>>
论文浅尝 | 面向时序知识图谱推理的循环事件网络
查看>>
论文浅尝 | 多标签分类中的元学习
查看>>
开放开源 | DeepKE:基于深度学习的开源中文关系抽取工具
查看>>
论文浅尝 | Meta Relational Learning: 基于元关系学习的少样本知识图谱推理
查看>>
论文浅尝 | 基于属性embeddings的跨图谱实体对齐
查看>>
论文浅尝 | Doc2EDAG:一种针对中文金融事件抽取的端到端文档级框架
查看>>
技术动态 | 数据库研究者视角下的知识图谱研究
查看>>
论文浅尝 | 基于用户反馈的交互式自然语言回答系统提升机制
查看>>
研讨会 | 知识图谱引领认知智能+
查看>>
新书速递 | 《知识图谱:方法、实践与应用》
查看>>
论文浅尝 | 使用预训练深度模型和迁移学习方法的端到端模糊实体匹配
查看>>
技术动态 | 跨句多元关系抽取
查看>>
论文浅尝 | 利用知识-意识阅读器改进的不完整知识图谱问答方法
查看>>
论文浅尝 | 如何利用外部知识提高预训练模型在阅读理解任务中的性能
查看>>
论文浅尝 | 使用孪生BERT网络生成句子的嵌入表示
查看>>
论文浅尝 | 利用问题生成提升知识图谱问答
查看>>
公开课 | 知识图谱构建与应用概述
查看>>
论文浅尝 | 探索将预训练语言模型用于事件抽取和事件生成
查看>>