未授权访问漏洞总结

Web端

http://219.141.242.77:7777/pe-admin/

#后台未授权访问
http://219.141.242.77:7777/pe-admin/main.jsp

参考：华泰保险某系统漏洞打包（未授权访问\弱口令\Getshell）

服务端

未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷，导致其他用户可以直接访问，从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。目前主要存在未授权访问漏洞的有：NFS服务，Samba服务，LDAP，Rsync，FTP，GitLab，Jenkins，MongoDB，Redis，ZooKeeper，ElasticSearch，Memcache，CouchDB，Docker，Solr，Hadoop，Dubbo

参考：【脉搏沉淀系列】未授权访问漏洞总结

乌云实例：

优居客Redis未授权访问导致绕过SSH认证登录(redis+ssh-keygen免认证登录案例)

新浪微博docker remote API未授权访问导致远程命令执行(root)

百度游戏某zookeeper服务未授权访问

.......

 

redis未授权访问漏洞

漏洞环境搭建：

（一）安装redis服务：

（1）从官网下载源码的压缩包：

wget http://download.redis.io/releases/redis-3.2.11.tar.gz

（2）下载完成后，解压压缩包：

tar xzf redis-3.2.11.tar.gz；

 

（3）然后进入解压后的目录：cd redis-3.2.11，输入make并执行；

（4）make结束后，进入src目录：cd src，将redis-server和redis-cli拷贝到/usr/bin目录下（这样启动redis-server和redis-cli就不用每次都进入安装目录了）：

 

（5）返回目录redis-3.2.11，将redis.conf拷贝到/etc/目录下：

（6）编辑etc中的redis配置文件redis.conf，如下图所示：

去掉ip绑定，允许除本地外的主机远程登录redis服务：

关闭保护模式，允许远程连接redis服务：

 （7）使用/etc/目录下的reids.conf文件中的配置启动redis服务：redis-server /etc/redis.conf 

常见命令

（1）查看信息：info

（2）删除所有数据库内容：flushall

（3）刷新数据库：flushdb

（4）看所有键：KEYS *，使用select num可以查看键值数据。

（5）设置变量：set test “who am i”

（6）config set dir dirpath 设置路径等配置

（7）config get dir/dbfilename 获取路径及数据配置信息

（8）save保存

（9）get 变量，查看变量名称

相关漏洞

因配置不当可以未经授权访问，攻击者无需认证就可以访问到内部数据，其漏洞可导致敏感信息泄露（Redis服务器存储一些有趣的session、cookie或商业数据可以通过get枚举键值），也可以恶意执行flushall来清空所有数据，攻击者还可通过EVAL执行lua代码，或通过数据备份功能往磁盘写入后门文件。如果Redis以root身份运行，可以给root账户写入SSH公钥文件，直接免密码登录服务器，其相关漏洞信息如下：

（1）Redis 远程代码执行漏洞(CVE-2016-8339)

Redis 3.2.x < 3.2.4版本存在缓冲区溢出漏洞，可导致任意代码执行。Redis数据结构存储的CONFIG SET命令中client-output-buffer-limit选项处理存在越界写漏洞。构造的CONFIG SET命令可导致越界写，代码执行。

（2）CVE-2015-8080

Redis 2.8.x在2.8.24以前和3.0.x 在3.0.6以前版本，lua_struct.c中存在getnum函数整数溢出，允许上下文相关的攻击者许可运行Lua代码（内存损坏和应用程序崩溃）或可能绕过沙盒限制意图通过大量，触发基于栈的缓冲区溢出。

（3）CVE-2015-4335

Redis 2.8.1之前版本和3.0.2之前3.x版本中存在安全漏洞。远程攻击者可执行eval命令利用该漏洞执行任意Lua字节码

（4）CVE-2013-7458

读取“.rediscli_history”配置文件信息。