验证docker的Redis镜像也存在未授权访问漏洞

最新推荐文章于 2024-07-15 20:00:23 发布
最新推荐文章于 2024-07-15 20:00:23 发布
阅读量1.6k 收藏
点赞数
分类专栏: docker 容器 文章标签: docker redis漏洞 docker镜像
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JoeZ_blog/article/details/50175575
版权
根据老外博客中提到的Docker Hub官方镜像存在高危漏洞,博主在CentOS7上的Docker 1.9环境中,拉取官方ubuntu/redis镜像并启动容器。然后尝试从Kali虚拟机利用Redis未授权访问漏洞写入SSH公钥到容器,成功写入但因网络模式限制未实现SSH连接。通过调整Docker网络模式,可以实现对外部主机的访问。
摘要由CSDN通过智能技术生成

        看到了这篇老外的博客:Over 30% of Official Images in Docker Hub Contain High Priority Security Vulnerabilities 于是,结合最近爆出的redis未授权访问导致可远程获得服务器权限漏洞,在docker容器中验证官方pull的镜像是否存在漏洞。

       我的docker安装在centos7的虚拟机中,版本1.9,redis镜像从官方pull ubuntu/redis,首先启动redis容器:


      Kali虚拟机中登录存在漏洞的redis容器,写入ssh公钥

最低0.47元/天 解锁文章
JoeZ_blog
关注
专栏目录
redis授权访问漏洞
qq_57823902的博客
11-30 334
redis授权漏洞访问
安全升级:Docker部署Redis,启用密码验证
最新发布
2302_78886445的博客
08-29 1375
redis文件夹里面创建:data文件夹和conf文件夹(文件夹名称随意)
[漏洞复现]Redis授权漏洞
weixin_44508748的博客
04-14 369
Redis 默认情况下,会绑定在本地6379端口,如果没有进行相关策略,会将 Redis 服务暴露到公网上,在没有设置密码认证(默认为空)的情况下,任意用户在可以访问目标服务器的情况下授权访问Redis 以及读取 Redis 的数据。攻击者在授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作,可以将ssh公钥写入目标服务器的 /root/.ss...
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1677
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
Redis授权最全利用方式
swordheart的博客
01-10 2596
0x00 利用计划任务反弹shell 靶机地址:192.168.230.142 kail地址:192.168.230.128 启动靶机redis docker环境
Redis授权访问漏洞引出的漏洞利用方式
Chu_Jian_Xiong的博客
11-20 1369
redis授权访问漏洞是一个由于redis服务版本较低其设置登录密码导致的漏洞,攻击者可直接利用redis服务器的ip地址和端口完成redis服务器的远程登录,对目标服务器完成后续的控制和利用。
授权访问漏洞笔记
m0_47599604的博客
04-05 1672
授权访问 介绍 授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 B/S架构 一般存在后台界面访问特定目录下的敏感文件,能直接跳过管理员登录,去访问后台管理内容。 C/S架构 一般存在默认安装的一些客户端应用程序,安装人员因缺少安全意识导致攻击者利用。 数据库...
Redis授权漏洞总结
weixin_39664643的博客
01-21 2370
Redis授权漏洞总结 0x00 Redis介绍 Redis是现在最受欢迎的NoSQL数据库之一,Redis是一个使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数据库,其具备如下特性: 基于内存运行,性能高效 支持分布式,理论上可以无限扩展 key-value存储系统 开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API 目前guthub/twitter/微博/阿里/美团/百
常见IT系统授权漏洞风险与Redis示例
本文主要探讨了多个常见的授权访问漏洞,涉及的IT服务和组件包括Redis、MongoDB、Jenkins、Memcached、JBOSS、VNC、Docker、ZooKeeper、Rsync、Atlassian Crowd、CouchDB、Elasticsearch和Hadoop。这些漏洞的共同...
docker部署安装redis并远程连接-阿里云
qq_50523945的博客
07-15 409
因为 redis 默认配置只能够本地连接,不能进行远程访问,使用 Redis Desktop Manager连接都会报错,因此需要手动挂载 redis 配置文件。手动设置容器自启动(可选,如果在创建容器的时候已经添加了这个参数,这里就不用设置)Host 服务器IP地址。
Linux上使用docker启动redis并远程访问
IT__learning的博客
11-24 7136
一、centos7 上安装 docker 1、安装必要的一些系统工具 sudo yum install -y yum-utils device-mapper-persistent-data lvm2 2、安装 docker 的 yum 源 yum-config-manager --add-repo http://download.docker.com/linux/centos/docker-ce.repo # 央仓库 yum-config-manager --add-repo http://mirror
使用Docker部署Redis,并通过RESP远程连接
JYFZXX的博客
04-11 772
v /docker/redis/conf/redis.conf:/etc/redis/redis.conf:映射配置文件(/docker/redis/conf/redis.conf路径是相对自己打开PowerShell路径文件夹的路径)7、此时,点击Docker Desktop的imagesredis镜像可启动redis容器,但此时启动的redis容易是不能使用RESP成功连接的。redis-server /etc/redis/redis.conf:指定配置文件启动redis-server进程。
漏洞复现 - - - 授权访问漏洞Redis
weixin_67503304的博客
08-13 5079
授权访问漏洞Redis, 通过redis数据备份功能,往WEB网站根目录写入一句话木马,利用shell得到WEB网站权限,通过定时任务反弹Shell,写SSH公钥,实现免密登录linux服务器
redis授权访问
m0_56578216的博客
09-02 951
前提条件:1.
漏洞复现 - - -Docker授权访问漏洞
weixin_67503304的博客
08-16 5391
Docker授权访问漏洞docker授权写定时任务获取shell,详细概述了通过docker获取shell的方法。
Docker Remote API授权访问
lyink001的博客
12-16 1381
docker remote api获取服务器权限
docker搭建redis授权访问漏洞环境
weixin_30617695的博客
04-04 627
这是redis授权访问漏洞环境,可以使用该环境练习重置/etc/passwd文件从而重置root密码 环境我已经搭好放在了docker hub 可以使用命令docker search ju5ton1y来搜索该镜像 构建好容器之后需进入容器对ssh服务重启 /etc/init.d/ssh restart Dockerfile如下: #Redis is not authori...
Docker授权访问漏洞
Kevin's Blog
08-03 8995
文章目录一、漏洞介绍1.1 漏洞成因1.2 漏洞概况二、攻击过程2.1 信息收集2.2 漏洞探测2.3 漏洞利用三、防御方法 一、漏洞介绍 1.1 漏洞成因   又叫Docker Remote API授权访问漏洞,此API主要目的是取代命令行界面;Dcoker swarm是docker下的分布化应用的本地集群,开放2375监听容器时,会调用这个API,方便的docker集群管理和扩展(绑定在0.0.0.0上,http会返回404page not fount) 1.2 漏洞概况 fofa搜索全国端口占有概况
本地连接远程docker redis镜像
05-13
要在本地连接到远程 Docker Redis 镜像,需要以下步骤: 1. 在远程 Docker Redis 容器启动 Redis 服务,并将 Redis 绑定到公共 IP 地址。使用以下命令启动 Redis 服务: ``` redis-server --bind ``` 请将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值