Redis注入失败一次注入挫折的经历（redis注入不进去）

Redis注入失败：一次注入挫折的经历

在进行Web应用安全测试过程中，我尝试对某个电商网站进行Redis注入测试，结果却遇到了挫折。

我使用了常见的Redis注入语句 `127.0.0.1:6379> flushall` 来清空Redis数据库。但是，我无法顺利地进行注入，该语句不能成功执行。

经过实践和研究，我发现该电商网站使用的Redis版本是较新的，而该版本默认情况下已经禁止通过网络接口执行危险命令，所以无法通过网络接口来执行 `flushall` 命令。并且，该网站还开启了认证机制，需要输入账号和密码才能访问命令行界面。

为了克服这一问题，我尝试使用Redis漏洞扫描工具，如Redis-CLI、Redis-Dump 和 Redis-Stat，以及一些知名的IRC聊天室，例如#redis和#redis-sec，来寻求建议和帮助。但是，我都没有找到有效的方法，从而无法成功进行Rredis注入测试。

在接下来的一些尝试中，我发现该电商网站使用了名为 `Redis Sentinel` 的Redis的高可用性解决方案，该方案基于哨兵程序，自动监视整个集群中的主节点和从节点，并在主节点出现故障时自动把某个从节点提升为主节点以保证服务的可用性。这意味着即使我注入成功并清除了所有数据，该网站的哨兵进程仍然可以恢复数据并保持服务在线。

最终，我被迫放弃了我原本希望成功进行的Redis注入测试。但是，这一经历也让我更加深入地了解了Redis的一些高级功能，包括高可用性解决方案和安全机制。

在这个经历中，我学到了很多关于网络安全的知识，包括如何面对挫折和寻求他人的帮助，以及如何扩大我的知识和技能，避免类似的情况再次发生。作为一个安全测试人员，我们不仅需要具备一定的理论知识和实践技能，还需要怀着探索和挑战的精神不断学习和进步，才能更好地为公司和客户提供优质的安全测试服务。

香港服务器首选后浪云，2H2G首月10元开通。
后浪云（www.IDC.Net）提供简单好用，价格厚道的香港/美国云服务器和独立服务器。IDC+ISP+ICP资质。ARIN和APNIC会员。成熟技术团队15年行业经验。