基于 Python 3 编写的 Redis 漏洞利用工具。
⚠️ 注意: 主从复制命令执行会 清空 目标redis数据!!!!该主从复制命令执行会 清空 目标redis数据!!!!该主从复制命令执行会 清空 目标redis数据!!!!
⚠️ 免责声明:本工具仅供安全研究和授权渗透测试使用。严禁用于非法攻击。使用者需自行承担因不当使用造成的任何后果。
✨ 实现功能
- redis密码爆破
- CLI控制台
- 计划任务反弹shell
- 写ssh公钥拿shell会清空目标root计划任务数据!!
- 目录探测
- 任意文件写入(写webshell)
- CVE-2022-0542任意命令执行
- 主从复制命令执行(内置payload)会清空目标redis数据!!
🚀 使用方法
1 已经打包好了,可以直接运行redis_tools_GUI.exe
2 可以python执行
pip install redis
python redis_tools.py
payload参考
里面so和dll payload我没有自己去做,这里借用的下面老哥的,直接内嵌进去的
https://github.com/yuyan-sec/RedisEXP