Redis未授权访问漏洞

最新推荐文章于 2024-06-26 17:15:15 发布
最新推荐文章于 2024-06-26 17:15:15 发布
阅读量1.1k 收藏
点赞数
分类专栏: Python安全 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45007073/article/details/113810876
版权
本文详细介绍了Redis未授权访问漏洞的攻击思路,包括如何利用公私钥认证获取ROOT权限,以及漏洞利用的具体步骤。同时,提供了一个Python脚本来检测此类漏洞,通过扫描目标IP段并尝试连接,寻找可能存在风险的Redis实例。防御策略方面,建议禁止远程高危命令,以低权限运行Redis,限制外网访问,并确保authorized_keys文件权限安全。
摘要由CSDN通过智能技术生成

攻击思路

Redis是一种使用ANSIC语言编写的开源Key-Value型数据库。Redis为了保证效率,将数据缓存在内存中,周期性地把更新的数据写入磁盘或者把修改操作写入追加的记录文件中,在此基础上实现了master-slave(主从)同步。

对Redis配置不当将会导致未授权访问漏洞,从而被攻击者恶意利用。如果Redis以root身份运行,攻击者可以用root权限写入SSH公钥文件,通过SSH登录目标服务器,进而导致服务器权限被获取、泄露或发生加密勒索事件,为正常服务带来严重危害。

漏洞利用

漏洞利用的方式有很多,这里我们介绍其中的一种——利用公私钥认证获取ROOT权限

首先我们先在靶机上以root身份启动redis服务,命令为redis-server /etc/redis.conf,安装redis请读者上网查阅资料,这里只讲述攻击方法
在这里插入图片描述
然后我们在kali上生成一个ssh空密钥
在这里插入图片描述
进入/root/.ssh目录下查看生成结果,并将公钥导入到txt文件中
在这里插入图片描述
将txt文件中的公钥导入Redis缓存中
在这里插入图片描述
连接目标主机,更改配置文件路径为/root/.ssh,设定文件名称为authorized-keys
在这里插入图片描述
通过SSH协议连接到远程目标主机
在这里插入图片描述

检测方法

先编写程序的起始部分

#程序起始部分
if __name__ == '__main__':
    try:
        start(sys.argv[1:])
    except KeyboardInterrupt:
        print("interrupted by user, killing all threads...")

然后编写命令行参数处理功能,opts为一个两元组列表,如果没有附加参数则为空串

#编写命令行参数处理功能
def start(argv):
    dict = {}
    url = ""
    type = ""
    if len(sys.argv) < 2:
        print("-h 帮助信息; \n")
        sys.exit()
    #定义异常处理
    try:
        banner()
        opts,args = getopt.getopt(argv, "-u:-p:-s:-h")
    except getopt.GetoptError:
        print('Error an argument!')
        sys.exit()
    for opt,arg in opts:
        if opt == "-u":
            url = arg
        elif opt == "-s":
            type = arg
        elif opt == "-p":
            port = arg
        elif opt == "-h":
            print(usage())
    launcher(url,type,port)

编写帮助信息

#banner信息
def banner():
    print('\033[1;34m########################################################################################\033[0m\n'
          '\033[1;34m######################################\033[1;32mRedis未授权访问漏洞\033[1;34m####################################\033[0m\n'
          '\033[1;34m########################################################################################\033[0m\n')

接下来是Redis漏洞检测的核心代码,此处通过socket函数尝试连接远程主机的IP及端口号,发送payload字符串。利用recvdata函数接收目标主机返回的数据

#未授权函数检测
def redis_unauthored(url,port):
    result = []
    s = socket.socket()
    payload = "\x2a\x31\x0d\x0a\x24\x34\x0d\x0a\x69\x6e\x66\x6f\x0d\x0a"
    socket.setdefaulttimeout(10)
    for ip in url:
        try:
            s.connect((ip, int(port)))
            s.sendall(payload.encode())
            recvdata = s.recv(1024).decode()
            if recvdata and 'redis_version' in recvdata:
                result.append(str(ip)+':'+str(port)+':'+'\033[1;32;34msuccess\033[0m')
        except:
            pass
            result.append(str(ip) + ':' + str(port) + ':' + '\033[1:31;34mfailed \033[0m')
        s.close()
    return(result)

然后针对该IP段进行网络主机检测。该部分代码主要以特殊字符"-"为目标进行分隔,将分隔后的字符进行for循环存入列表中,以便被函数redis_unauthored调用

#执行URL
def url_exec(url):
    i = 0
    zi = []
    group = []
    group1 = []
    group2 = []
    li = url.split(".")
    if(url.find('-')==-1):
        group.append(url)
        zi = group
    else:
        for s in li:
            a = s.find('-')
            if a != -1:
                i = i+1
        zi = url_list(li)
        if i > 1:
            for li in zi:
                zz = url_list(li.split("."))
                for ki in zz:
                    group.append(ki)
            zi = group
            i = i-1
        if i > 1:
            for li in zi:
                zzz = url_list(li.split("."))
                for ki in zzz:
                    group1.append(ki)
            zi = group1
            i = i-1
        if i > 1:
            for li in zi:
                zzzz = url_list(li.split("."))
                for ki in zzzz:
                    group2.append(ki)
            zi = group2
    return zi

def url_list(li):
    ss = []
    i = 0
    j = 0
    zi = []
    for s in li:
        a = s.find('-')
        i = i + 1
        if a != -1:
            ss = s.rsplit("-")
            j = i
            break
    for s in range(int(ss[0]), int(ss[1]) + 1):
        li[j - 1] = str(s)
        aa = ".".join(li)
        zi.append(aa)
    return zi

最后是添加一些帮助信息和结果格式

#使用规则
def usage():
    print('-h: --help 帮助;')
    print('-p: --port 端口;')
    print('-u: --url 域名;')
    print('-s: --type Redis')
    
#输出结果格式设计
def output_exec(output,type):
    print("\033[1;32;40m"+type+"......\033[0m")
    print("++++++++++++++++++++++++++++++++++++++++++++++++")
    print("|         ip         |    port   |     status  |")
    for li in output:
        print("+-----------------+-----------+--------------+")
        print("|   "+li.replace(":","   |    ")+"  | ")
    print("+----------------+------------+---------------+\n")
    print("[*] shutting down....")

最后设置一个漏洞回调函数

#漏洞回调函数
def launcher(url,type,port):
    #未授权访问类型
    if type == "Redis":
        output=redis_unauthored(url_exec(url),port)
        output_exec(output,type)

附上完整代码以免疏漏

import sys
import getopt
import socket

#编写命令行参数处理功能
def start(argv):
    dict = {}
    url = ""
    type = ""
    if len(sys.argv) < 2:
        print("-h 帮助信息; \n")
        sys.exit()
    #定义异常处理
    try:
        banner()
        opts,args = getopt.getopt(argv, "-u:-p:-s:-h")
    except getopt.GetoptError:
        print('Error an argument!')
        sys.exit()
    for opt,arg in opts:
        if opt == "-u":
            url = arg
        elif opt == "-s":
            type = arg
        elif opt == "-p":
            port = arg
        elif opt == "-h":
            print(usage())
    launcher(url,type,port)

#banner信息
def banner():
    print('\033[1;34m########################################################################################\033[0m\n'
          '\033[1;34m######################################\033[1;32mRedis未授权访问漏洞\033[1;34m####################################\033[0m\n'
          '\033[1;34m########################################################################################\033[0m\n')

#使用规则
def usage():
    print('-h: --help 帮助;')
    print('-p: --port 端口;')
    print('-u: --url 域名;')
    print('-s: --type Redis')

#未授权函数检测
def redis_unauthored(url,port):
    result = []
    s = socket.socket()
    payload = "\x2a\x31\x0d\x0a\x24\x34\x0d\x0a\x69\x6e\x66\x6f\x0d\x0a"
    socket.setdefaulttimeout(10)
    for ip in url:
        try:
            s.connect((ip, int(port)))
            s.sendall(payload.encode())
            recvdata = s.recv(1024).decode()
            if recvdata and 'redis_version' in recvdata:
                result.append(str(ip)+':'+str(port)+':'+'\033[1;32;34msuccess\033[0m')
        except:
            pass
            result.append(str(ip) + ':' + str(port) + ':' + '\033[1:31;34mfailed \033[0m')
        s.close()
    return(result)

#执行URL
def url_exec(url):
    i = 0
    zi = []
    group = []
    group1 = []
    group2 = []
    li = url.split(".")
    if(url.find('-')==-1):
        group.append(url)
        zi = group
    else:
        for s in li:
            a = s.find('-')
            if a != -1:
                i = i+1
        zi = url_list(li)
        if i > 1:
            for li in zi:
                zz = url_list(li.split("."))
                for ki in zz:
                    group.append(ki)
            zi = group
            i = i-1
        if i > 1:
            for li in zi:
                zzz = url_list(li.split("."))
                for ki in zzz:
                    group1.append(ki)
            zi = group1
            i = i-1
        if i > 1:
            for li in zi:
                zzzz = url_list(li.split("."))
                for ki in zzzz:
                    group2.append(ki)
            zi = group2
    return zi

def url_list(li):
    ss = []
    i = 0
    j = 0
    zi = []
    for s in li:
        a = s.find('-')
        i = i + 1
        if a != -1:
            ss = s.rsplit("-")
            j = i
            break
    for s in range(int(ss[0]), int(ss[1]) + 1):
        li[j - 1] = str(s)
        aa = ".".join(li)
        zi.append(aa)
    return zi

#输出结果格式设计
def output_exec(output,type):
    print("\033[1;32;40m"+type+"......\033[0m")
    print("++++++++++++++++++++++++++++++++++++++++++++++++")
    print("|         ip         |    port   |     status  |")
    for li in output:
        print("+-----------------+-----------+--------------+")
        print("|   "+li.replace(":","   |    ")+"  | ")
    print("+----------------+------------+---------------+\n")
    print("[*] shutting down....")

#漏洞回调函数
def launcher(url,type,port):
    #未授权访问类型
    if type == "Redis":
        output=redis_unauthored(url_exec(url),port)
        output_exec(output,type)


#程序起始部分
if __name__ == '__main__':
    try:
        start(sys.argv[1:])
    except KeyboardInterrupt:
        print("interrupted by user, killing all threads...")

实现效果如下图所示
在这里插入图片描述

防御策略

  • 禁止远程使用高危命令
  • 低权限运行Redis服务
  • 禁止外网访问Redis
  • 阻止其他用户添加新的公钥,将authorized_keys的权限设置为对拥有者只读
平凡的学者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
redis授权访问漏洞
SatanRiver的博客
08-15 440
一、了解漏洞 1、什么是redisredis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的api。 2.redis 授权访问是什么漏洞redis是默认绑定在0.0.0.0:6379,并且没有开启认证,如果没有采取相关的一些策略,比如添加防火墙规则避免其他非信任来源的ip访问等,将会导致redis服务直接暴露在公网,...
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
本文主要给大家介绍了关于Redis授权访问漏洞利用的相关内容,文中对该漏洞进行了详细,并给出了相对应的修复/安全建议,下面话不多说了,来一起看看详细的介绍吧。 一、漏洞介绍 Redis 默认情况下,会绑定在 0.0....
Redis授权访问漏洞复现
最新发布
weixin_55123346的博客
06-26 1127
Redis漏洞复现
E044-服务漏洞利用及加固-利用redis授权访问漏洞进行提权.pdf
12-02
本文主要涉及的是网络安全领域中的一个常见问题,即如何利用Redis授权访问漏洞进行提权。Redis是一款开源的、高性能的键值数据库,常用于数据缓存和快速数据处理。当Redis配置不当,允许授权的外部访问时,攻击...
Redis授权访问配合SSH key文件利用详解
09-09
本文将详细讨论一个常见的安全问题:Redis授权访问配合SSH key文件利用。 Redis默认监听在`0.0.0.0:6379`,这意味着它对所有网络接口开放,如果不加以限制,任何能够访问到服务器的人都可以尝试连接Redis。特别是...
redis授权访问检测脚本.py
02-11
python编写的redis授权访问漏洞检测脚本
Celery 4.0 Redis授权访问+Pickle反序列化利用(celery3_redis_unauth)POC
09-29
Celery 4.0 Redis授权访问+Pickle反...Celery 版本默认使用Pickle进行任务消息的序列化传递,当所用队列服务(比如Redis、RabbitMQ、RocketMQ等等等)存在授权访问问题时,可利用Pickle反序列化漏洞执行任意代码。
常见授权访问漏洞总结1
08-04
漏洞简介以及危害config set dir /var/spool/cron
99-web漏洞挖掘之授权访问漏洞1
08-03
授权访问漏洞】是指那些本应受到安全配置或权限认证保护的系统资源或服务,由于配置不当,允许任何用户经身份验证即可直接访问。这种漏洞可能导致敏感信息泄露、重要功能被恶意操作,严重威胁企业的数据安全。...
Redis系列漏洞总结1
08-03
此外,为了防止授权访问,应当限制Redis仅接受来自信任源的连接,避免使用`0.0.0.0`作为监听地址,除非在安全的网络环境中。 在C#编程中,可以使用StackExchange.Redis库来与Redis交互,该库提供了丰富的API来...
redis mac 7.2.3 arm 包
11-07
- 设置密码认证(`requirepass`),防止授权访问。 - 避免在生产环境中暴露Redis直接面对互联网,通常会通过防火墙规则或代理服务来限制访问。 7. **其他注意事项**: - 保持Redis的版本更新,及时修补可能的...
redis 授权访问漏洞
weixin_60719780的博客
03-02 2117
Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没有配置密码访问时都会报错),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等等,这样将会将Redis服务暴露在公网上,如果在没有设置密码认证(默认为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问Redis以及读取Redis的数据。(2) 没有设置密码认证(默认为空)或者弱密码,可以免密码登录redis服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

平凡的学者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值