Redis未授权访问漏洞复现

Redis未授权访问漏洞介绍

Redis在默认情况下,会绑定在0.0.0.0:6379。如果没有采取相关的安全策略,例如添加防火墙规则、避免其他飞信人来源IP访问等,这样会使Redis 服务完全暴漏在公网上。如果在没有设置密码的情况下,会导致任意用户在访问目标服务器时,在未授权的情况下访问Redis以及读取数据。

攻击者在未授权的情况下可以利用Redis 自身提供的config、set命令来进行文件的读写和创建,这样一来攻击者就可以利用此命令将自己的ssh 公钥成功的写入到目标服务器中(目标服务器的/root/.ssh/文件夹下的authotrized_keys文件),就可以使用对应的私钥直接使用ssh服务登录目标服务器。

漏洞产生原因

Redis默认情况下绑定在0.0.0.0:6379,且没有添加防火墙规则,直接暴漏在了公网上。

没有设置密码认证(一般为空),可以免密远程密码登录

漏洞复现

环境搭建

攻击机:kali-linux 192.168.1.111

靶机: ubuntu 192.168.1.40

安装Redis服务

1
sudo  wget http://download.redis.io/releases/redis-3.2.11.tar.gz

使用如上命令进行下载redis源码压缩包

下载完成后,解压压缩包

1
tar -zxvf 文件名

解压完成后进入文件夹,输入make并执行即可

编译完成后,进入src目录,将redis-server和redis-cli拷贝到/usr/bin目录下(这样再启动redis-server和redis-cli就不用每次都进入安装目录了)

命令如下:

1
2
sudo cp redis-cli /usr/bin
sudo cp redis-server /usr/bin

返回redis目录,将redis.conf拷贝到/etc目录下,并编辑。

去掉IP绑定,允许本地外主机远程redis服务

关闭保护模式,允许远程连接redis服务

启动ssh服务。

利用漏洞攻击

靶机开启redis服务

在靶机中新开一个终端执行 sudo mkdir /root/.ssh,创建ssh公钥的存放目录

在kali攻击机中生成公钥和私钥,密码设置为空

将生成的公钥保存到ly0n.txt

1
(echo -e "\n\n";cat id_rsa.pub; echo -e "\n\n") > ly0n.txt

将ly0n.txt写入到redis

1
cat ly0n.txt | redis-cli -h 192.168.1.40 -x set crack

使用命令redis-cli -h 192.168.1.40远程登录redis服务

就可以利用服务自带的config和set来对文件进行操作。

上传文件

然后使用ssh免密登录靶机

很明显,登陆成功.

漏洞防护

  • 禁止远程使用一些高危命令

    可以修改redis.conf来禁用远程修改DB文件,例如

    rename-command FLUSHALL “ “

    rename-command CONFIG “ “

    rename-command EVAL “ “

  • 低权限运行服务

    为redis服务创建单独的/usrhome目录,并且配置禁止登录.

    1
    groupadd -r redis && useradd -r -g redis redis
  • 为Redis添加密码验证

    通过修改redis.conf文件来添加

    1
    requirepass mypassword
  • 禁止外网访问Redis

    修改redis.conf文件配置使得redis服务只有本机能够使用