Selam, son zamanlarda birkaç pentest sırasında denk geldiğim bi senaryoyu paylaşayım. Çoğu zaman dışarıya açık Redis instance’ları görüyoruz ama insanlar hâlâ “kim uğraşır ki” modunda. Aslında tek config hatası yetiyor, iş hızlıca RCE’ye dönüyor.
Önce nmap ile hızlı tarama yapıp misconfig’li instance’ları buluyoruz. Sonra redis-cli veya ufak bi python script’iyle config dosyasını değiştirip cron’a webshell yazdırıyoruz. İşin en tatlı kısmı ise, EDR’lerin çoğunun redis process’ine dokunmaması.
Cron’a yazdıktan sonra 60 saniye içinde reverse shell dönüyor. Kalıcılık için de systemd servisi oluşturmak yerine redis’in kendi config’ini bozmadan tutmak daha temiz oluyor. Birkaç yerde test ettim, çoğu WAF ve EDR bunu basit “redis” trafiği olarak görüp pas geçiyor.
Önce nmap ile hızlı tarama yapıp misconfig’li instance’ları buluyoruz. Sonra redis-cli veya ufak bi python script’iyle config dosyasını değiştirip cron’a webshell yazdırıyoruz. İşin en tatlı kısmı ise, EDR’lerin çoğunun redis process’ine dokunmaması.
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
Bu içeriği görmek için giriş yapın.