Redis漏洞利用的示例分析

这篇文章给大家分享的是有关Redis漏洞利用的示例分析的内容。小编觉得挺实用的，因此分享给大家做个参考，一起跟随小编过来看看吧。仅供参考学习使用Redis相关的漏洞存在很长时间了，仍然存在可以利用的情景，本次整理复现下redis相关的漏洞利用，以便以后遇到能够快速建立利用思路。redis是一个key-value存储系统。和Memcached类似，它支持存储的value类型相对更多，包括string(字符串)、list(链表）、set(**)、zset(sorted set –有序**)和hash（哈希类型）。
redis很大程度补偿了memcached这类key/value存储的不足，在部分场合可以对关系数据库起到很好的补充作用。它提供了Java，C/C++，C#，PHP，JavaScript，Perl，Object-C，Python，Ruby，Erlang等客户端，使用很方便。
redis支持主从同步。数据可以从主服务器向任意数量的从服务器上同步，从服务器可以是关联其他从服务器的主服务器。
默认端口：6379分别搭建windows和linux的测试环境。
官方给出redis的windows版本最新为3.x。
windows下载地址：
https://github.com/microsoftarchive/redis/releases
下载Redis-x64-3.2.100.zip解压到本地目录下。修改配置文件redis.windows.conf ，开启远程访问，关闭保护模式。
修改bind 127.0.0.1为bind 0.0.0.0
修改protected-mode yes为protected-mode no指定redis.windows.conf配置文件，启动redis服务。使用redis-cli.exe成功连接redis服务。linux下载地址：
最新版为6.0.1，可以选择需要的版本进行下载。
http://download.redis.io/releases/redis-6.0.1.tar.gz
使用wget命令下载编译后，进入src目录，将redis-server和redis-cli拷贝到/usr/bin目录下修改redis.conf和windows下配置相同，开启外部访问，关闭保护模式。启动redis服务成功连接redis服务。redis默认情况下没有设置密码，在没有设置IP访问限制的情况下，可以通过redis写入文件进行相关利用。适用范围：windows，linux版本。
利用条件：
1、目标存在web目录
2、已知web绝对路径
3、存在写入权限
利用过程：
利用redis写入一个webshell到目标web目录下。rnrn代表换行的意思，用redis入的文件会自带一些版本信息，如果不换行可能会导致无法执行。成功写入文件。使用范围：centos
利用条件：
1、权限可写计划任务
利用过程：
在权限足够的情况下，利用redis写入文件到计划任务目录下执行。
首先监听端口。利用redis生成计划任务配置文件。在目标主机上成功添加了计划任务。每一分钟执行一次，成功接收到反弹的shell。坑点：
使用kali做为目标主机进行测试，需要写入计划任务到/var/spool/cron/crontabs目录下。
发现当目标主机为centos时可以反弹shell成功,使用了ubuntu和debian均无法成功反弹shell。
原因：由于redis向任务计划文件里写内容出现乱码而导致的语法错误，而乱码是避免不了的，centos会忽略乱码去执行格式正确的任务计划。使用范围：开启了密钥认证的linux主机
利用条件：
1、root权限
2、开启了ssh密钥登录，存在/etc/.ssh文件
利用过程：
当redis以root身份运行，可以给root账户写入SSH公钥文件，直接通过SSH登录目标服务器。
1、首先在centos靶机上开启ssh密钥登录。
修改/etc/ssh/sshd_config配置文件。重启服务2、生成密钥
在kali中使用自带的命令生成一对密钥。3、将公钥内容导入key.txt文件4、将生成的公钥内容设置给redis里的变量5、在 /root/.ssh 目录下生成authorized_keys文件。成功写入authorized_keys文件。6、使用本地的私钥连接ssh连接成功。坑点：
目标主机必须开启了密钥登录才能利用。
ssh第一次连接时要加上 -o StrictHostKeyChecking=no，不然可能一直连不上。当目标redis部署在windows主机上时，可以写入文件到自启动目录。当下次电脑重新启动时执行上线。
使用powershell远程下载执行。
server服务器默认存在Administrator用户。
写入批处理文件到Administrator用户的开机启动目录。使用范围redis 4.x-5.0.5
在Redis 4.x之后，Redis新增了模块功能，通过外部拓展，可以在redis中实现一个新的Redis命令，通过写c语言并编译出.so文件。编译so文件编译完后之后module.so到redis-rce目录下，运行命令：-r参数是指目标redis IP地址
-L参数是指本机的ip地址
执行命令后，本机21000端口生成一个redis服务，然后目标redis指定本机为主服务器，同步执行so文件。
执行成功后可以选择生成一个交互的shell，或者重新反弹一个shell。当遇到 redis 服务器写文件无法 getshell，可以查看redis数据是否符合序列化数据的特征。
序列化数据类型分辨:redis 反序列化本质上不是 redis 的漏洞，而是使用 redis 的应用反序列化了 redis 的数据而引起的漏洞，redis 是一个缓存服务器，用于存储一些缓存对象，所以在很多场景下 redis 里存储的都是各种序列化后的对象数据。
两个常见场景：
一、java 程序要将用户登录后的 session 对象序列化缓存起来，这种场景是最常见的。
二、程序员经常会把 redis 和 ORM 框架整合起来，一些频繁被查询的数据就会被序列化存储到 redis 里，在被查询时就会优先从 redis 里将对象反序列化一遍。redis一般存储的都是 java 序列化对象，php、python 比较少见，比较多的是 fastjson 和 jackson 类型的序列化数据，jdk 原生的序列化数据。
因为要从 redis 反序列化对象，在对象类型非单一或少量的情况下程序员通常会选择开启 jackson 的 defaulttyping 和 fastjson 的 autotype，所以通常可以进行利用。fastjson反序列化和java反序列化和jackson 反序列化利用原理相同，都是通过篡改 redis 里面的反序列化数据，把恶意的序列化字节码存储进去，等到应用使用到它的时候就会反序列化触发漏洞，下面演示jackson 反序列化的利用过程。序列化：把Java对象转换为字节序列的过程。
反序列化：把字节序列恢复为Java对象的过程。
jackson 反序列化漏洞汇总
使用浅蓝大佬的springboot+redis+jackson的漏洞环境进行演示。
下载地址：https://github.com/iSafeBlue/redis-rce
首先搭建漏洞环境。
使用IDEA打开pom.xml文件，自动下载安装程序运行所需的依赖。
安装完成后，运行程序。本地启动一个redis。TestController.java 里写了两个接口，login 接口会把 User 对象直接存储到 redis。home 接口会将 username 参数当做 key 去 redis 里查询。在“存储”和“查询”的时候实际上就是在“序列化”与“反序列化”。这个过程如下：调用login接口 -> 序列化User对象并存储到redis -> 调用home接口 -> 从redis取出数据并反序列化如果控制了redis，可以先调用login接口把User 对象序列化存储到redis，然后把redis里的这条序列化数据篡改成恶意反序列化数据。最后去访问home接口，从redis中取出数据，从而导致触发了反序列化漏洞。演示过程：
访问login接口把数据存储到redis。修改redis中的存储的数据为恶意反序列化数据,发起 JNDI 连接请求。相关rmi和jndi服务器搭建可以参考Fastjson反序列化漏洞利用然后访问home接口，取出数据进行反序列化，成功弹出了计算器。A-Team团队大佬提出的一种利用方法。相关细节可参考《在Redis中构建Lua虚拟机的稳定攻击路径》
适用于高权限运行低版本red免费云主机域名is的lua虚拟机，写文件失败时进行尝试。
本地搭建了centos6.5+redis 2.6.16的实验环境
使用info server 和 eval “return _VERSION” 0 命令可以查看当前redis版本和编译信息。
下载A-Team团队的exphttps://github.com/QAX-A-Team/redis_lua_exploit/修改redis_lua.py中目标地址为靶机的ip地址。
运行攻击exp。显示执行成功，可以进行命令执行了。连接靶机redis执行反弹shell命令。成功接收到反弹的shell。当redis服务开放且设置了密码时，可以尝试使用工具爆破。
首先给redis设置密码，修改redis.conf，增加密码使用redis-cli连接，使用-a参数指定密码操作。使用msf的auxiliary/scanner/redis/redis_login模块
设置爆破的目标地址，和字典文件，不建议使用默认字典文件。成功爆破出密码为admin@1231、禁止使用root权限启动redis服务。
2、对redis访问启动密码认证。
3、添加IP访问限制，并更改默认6379端口感谢各位的阅读！关于“Redis漏洞利用的示例分析”这篇文章就分享到这里了，希望以上内容可以对大家有一定的帮助，让大家可以学到更多知识，如果觉得文章不错，可以把它分享出去让更多的人看到吧！

相关推荐: windows下linux系统如何安装

本篇内容主要讲解“windows下linux系统如何安装”，感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷，实用性强。下面就让小编来带大家学习“windows下linux系统如何安装”吧!1，首先准备好大于的8G U盘一个，因为现在的镜像基本上都有3G多，…