redis ssh 漏洞 redis漏洞利用

1、漏洞介绍

• Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下，利用 Redis 自身的提供的config 命令，可以进行写文件操作，攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中，进而可以使用对应私钥直接使用ssh服务登录目标服务器。

2、漏洞的产生条件有以下两点：

（1）redis绑定在 0.0.0.0:6379，且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略，直接暴露在公网；
（2）没有设置密码认证（一般为空），可以免密码远程登录redis服务。

3、漏洞危害

（1）攻击者无需认证访问到内部数据，可能导致敏感信息泄露，黑客也可以恶意执行flushall来清空所有数据；
（2）攻击者可通过EVAL执行lua代码，或通过数据备份功能往磁盘写入后门文件；
（3）最严重的情况，如果Redis以root身份运行，黑客可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器

4、漏洞复现

4.1、下载redis并安装，采用的是Ubuntu镜像

wget http://download.redis.io/releases/redis-2.8.17.tar.gz
tar xzf redis-2.8.17.tar.gz
cd redis-2.8.17
make
cd src
cp redis-server /usr/bin 
cp  redis-cli /usr/bin
cd ..
cp redis.conf /etc/
redis-server /etc/reids.conf
启动redis服务，注意关闭防火墙，Ubuntu除了iptables机制，还有ufw安全机制！！！

• 服务启动成功，我们克隆这台虚拟机
  一台作为攻击机，一台作为靶机。
  利用前提是：

1、靶机redis连接未授权，在攻击机上能用redis-cli连上，如下图1，并未登陆验证
 2、开了web服务器，并且知道路径（如利用phpinfo，或者错误爆路经），还需要具有文件读写增删改查权限（我们可以将dir设置为一个目录a，而dbfilename为文件名b，再执行save或bgsave，则我们就可以写入一个路径为a/b的任意文件。）

• 这里由于本地搭建，我们已经知道目录，我们把shell写入/home/bmjoker/目录下

• shell写入完成，我们在靶机上来证明

• 成功写入shell