Redis未授权访问漏洞复现
Redis未授权访问漏洞介绍
Redis
在默认情况下,会绑定在0.0.0.0:6379
。如果没有采取相关的安全策略,例如添加防火墙规则、避免其他飞信人来源IP
访问等,这样会使Redis
服务完全暴漏在公网上。如果在没有设置密码的情况下,会导致任意用户在访问目标服务器时,在未授权的情况下访问Redis
以及读取数据。
攻击者在未授权的情况下可以利用Redis
自身提供的config、set
命令来进行文件的读写和创建,这样一来攻击者就可以利用此命令将自己的ssh
公钥成功的写入到目标服务器中(目标服务器的/root/.ssh/文件夹下的authotrized_keys
文件),就可以使用对应的私钥直接使用ssh
服务登录目标服务器。
漏洞产生原因
Redis
默认情况下绑定在0.0.0.0:6379
,且没有添加防火墙规则,直接暴漏在了公网上。没有设置密码认证(一般为空),可以免密远程密码登录
漏洞复现
环境搭建
攻击机:kali-linux 192.168.1.111
靶机: ubuntu 192.168.1.40
安装Redis服务
1 | sudo wget http://download.redis.io/releases/redis-3.2.11.tar.gz |
使用如上命令进行下载redis源码压缩包
下载完成后,解压压缩包
1 | tar -zxvf 文件名 |
解压完成后进入文件夹,输入make并执行即可
编译完成后,进入src
目录,将redis-server和redis-cli拷贝到/usr/bin目录下(这样再启动redis-server和redis-cli就不用每次都进入安装目录了)
命令如下:
1 | sudo cp redis-cli /usr/bin |
返回redis
目录,将redis.conf拷贝到/etc
目录下,并编辑。
去掉IP绑定,允许本地外主机远程redis服务
关闭保护模式,允许远程连接redis服务
启动ssh服务。
利用漏洞攻击
靶机开启redis服务
在靶机中新开一个终端执行 sudo mkdir /root/.ssh
,创建ssh
公钥的存放目录
在kali攻击机中生成公钥和私钥,密码设置为空
将生成的公钥保存到ly0n.txt
1 | (echo -e "\n\n";cat id_rsa.pub; echo -e "\n\n") > ly0n.txt |
将ly0n.txt写入到redis
1 | cat ly0n.txt | redis-cli -h 192.168.1.40 -x set crack |
使用命令redis-cli -h 192.168.1.40
远程登录redis服务
就可以利用服务自带的config和set
来对文件进行操作。
上传文件
然后使用ssh免密登录靶机
很明显,登陆成功.
漏洞防护
禁止远程使用一些高危命令
可以修改redis.conf来禁用远程修改DB文件,例如
rename-command FLUSHALL “ “
rename-command CONFIG “ “
rename-command EVAL “ “
低权限运行服务
为redis服务创建单独的
/usr
和home
目录,并且配置禁止登录.
1 groupadd -r redis && useradd -r -g redis redis为Redis添加密码验证
通过修改redis.conf文件来添加
1 requirepass mypassword禁止外网访问Redis
修改redis.conf文件配置使得redis服务只有本机能够使用