发现网上所有 redis 漏洞利用工具都没有图形化的,而且绝大部分都是需要再去编译 so 和 dll 文件,操作起来很麻烦,于是做了一个基于 Python3 编写的 Redis 图形化漏洞利用工具。
添加"CVE-2025-49844 任意命令执行"和"Gopher 协议 Payload 生成"模块
⚠️ 免责声明 :本工具仅供安全研究和授权渗透测试使用。严禁用于非法攻击。使用者需自行承担因不当使用造成的任何后果。
项目地址
https://github.com/zjeweler/redis_tools_GUI
✨ 实现功能
- redis密码爆破
- CLI控制台
- 计划任务反弹shell 会清空目标root计划任务数据!!
- 写ssh公钥拿shell
- 目录探测
- 任意文件写入(写webshell)
- CVE-2022-0542任意命令执行
- CVE-2025-49844任意命令执行 (目前仅支持8.2.1版本)
- 主从复制命令执行(内置payload) 会清空目标redis数据!!
- Gopher协议Payload生成
🚀 使用方法
1 已经打包好了,可以直接运行 redis_tools_v_2_1.exe
2 可以下 python 执行:python redis_tools.py
python 运行需要有库 pip install redis
payload 参考
里面 so 和 dll payload 我没有自己去做,这里借用的下面师傅的,直接内嵌进去的
https://github.com/yuyan-sec/RedisEXP
CVE-2025-49844 参考下面师傅的逻辑
https://github.com/saneki/cve-2025-49844
✨ 服务器获取
redis很多利用都需要公网服务器。
可以参考我这篇文章白嫖阿里云服务器。
阿里云学生领一年服务器方法
阿里云服务器九折优惠