datapower redis rce exploit:用于IBM Datapower身份验证的Redis RCE的POC滥用测试消息功能(CVE 2020 5

datapower-redis-rce-exploit(CVE-2020-5014) 用于IBM DataPower身份验证的Redis RCE的POC滥用了“测试消息”功能。 解释 使用通过身份验证的会话到DataPower WebGUI可用的DataPower“发送测试消息”功能,可以对DataPowers内部Redis服务器执行SSRF攻击。 内部Redis服务器受密码保护,但似乎使用了硬编码的密码。 然后,可以将其与预先存在的Redis RCE漏洞相结合,以以DataPower底层Linux操作系统内部的drouter用户身份执行任意代码。 快速开始 克隆此仓库 编译模块: cd RedisModulesSDK/dpredisshell/ make 编译Golang代码go build 检查标志./datapower-redis-rce-exploit -h 运行漏洞