漏洞简介

Redis默认情况下，会绑定在0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源ip访问等，这样将会将Redis服务暴露到公网上，如果在没有设置密码认证（一般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下，利用Redis自身的提供的config命令，可以进行写文件操作，攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中，进而可以使用对应私钥直接使用ssh服务登录目标服务器。

漏洞的产生条件有以下两点：

• redis绑定在 0.0.0.0:6379，且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略，直接暴露在公网；
• 没有设置密码认证（一般为空），可以免密码远程登录redis服务。

漏洞危害

• 攻击者无需认证访问到内部数据，可能导致敏感信息泄露，黑客也可以恶意执行flushall来清空所有数据；
• 攻击者可通过EVAL执行lua代码，或通过数据备份功能往磁盘写入后门文件；
• 如果Redis以root身份运行，黑客可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器

漏洞复现

靶机环境搭建

centos7搭建redis数据库服务
注意

• 配置redis服务环境变量

cp -r /redis-4.0.6/src /usr/local/
//启动redis-server和redis-cli不用每次进入安装目录(类似配置环境变量)

• 复制/redis-4.0.6/redis.conf到/etc/
• 配置/etc/redis.conf

# bind 127.0.0.1
protected-mode no

攻击机环境搭建

攻击机环境搭建

上传webshell