6379 - Pentesting Redis
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!
Hacking Einblicke Engagieren Sie sich mit Inhalten, die in den Nervenkitzel und die Herausforderungen des Hackens eintauchen
Echtzeit-Hack-Nachrichten Bleiben Sie auf dem Laufenden über die schnelllebige Hackerwelt durch Echtzeitnachrichten und Einblicke
Neueste Ankündigungen Bleiben Sie informiert über die neuesten Bug-Bounties und wichtige Plattform-Updates
Treten Sie uns auf Discord bei und beginnen Sie noch heute mit den besten Hackern zusammenzuarbeiten!
Aus den Dokumenten: Redis ist ein Open-Source (BSD-lizenziert), In-Memory Datenstruktur-Store, der als Datenbank, Cache und Nachrichtenbroker verwendet wird.
Standardmäßig verwendet Redis ein textbasiertes Protokoll, aber Sie müssen beachten, dass es auch ssl/tls implementieren kann. Erfahren Sie, wie Sie Redis mit ssl/tls hier ausführen.
Standardport: 6379
Einige automatisierte Tools, die helfen können, Informationen von einer Redis-Instanz zu erhalten:
Redis ist ein textbasiertes Protokoll, Sie können einfach den Befehl in einem Socket senden und die zurückgegebenen Werte sind lesbar. Denken Sie auch daran, dass Redis mit ssl/tls betrieben werden kann (aber das ist sehr ungewöhnlich).
In einer regulären Redis-Instanz können Sie einfach mit nc
verbinden oder Sie könnten auch redis-cli
verwenden:
Der erste Befehl, den Sie ausprobieren könnten, ist info
. Er kann Ausgaben mit Informationen über die Redis-Instanz oder etwas wie das Folgende zurückgeben:
In diesem letzten Fall bedeutet dies, dass Sie gültige Anmeldeinformationen benötigen, um auf die Redis-Instanz zuzugreifen.
Standardmäßig kann Redis ohne Anmeldeinformationen zugegriffen werden. Es kann jedoch konfiguriert werden, um nur Passwort oder Benutzername + Passwort zu unterstützen.
Es ist möglich, ein Passwort in der redis.conf-Datei mit dem Parameter requirepass
oder vorübergehend bis der Dienst neu gestartet wird, indem man sich mit ihm verbindet und Folgendes ausführt: config set requirepass p@ss$12E45
.
Außerdem kann ein Benutzername im Parameter masteruser
innerhalb der redis.conf-Datei konfiguriert werden.
Wenn nur ein Passwort konfiguriert ist, wird der verwendete Benutzername "default" sein. Beachten Sie auch, dass es keine Möglichkeit gibt, extern zu erkennen, ob Redis nur mit Passwort oder Benutzername+Passwort konfiguriert wurde.
In Fällen wie diesem müssen Sie gültige Anmeldeinformationen finden, um mit Redis zu interagieren, sodass Sie versuchen könnten, es brute-force anzugreifen. Falls Sie gültige Anmeldeinformationen gefunden haben, müssen Sie die Sitzung authentifizieren, nachdem Sie die Verbindung mit dem Befehl hergestellt haben:
Gültige Anmeldeinformationen werden mit folgendem beantwortet: +OK
Wenn der Redis-Server anonyme Verbindungen zulässt oder wenn Sie gültige Anmeldeinformationen erhalten haben, können Sie den Aufzählungsprozess für den Dienst mit den folgenden Befehlen starten:
Andere Redis-Befehle finden Sie hier und hier.
Beachten Sie, dass die Redis-Befehle einer Instanz umbenannt oder in der redis.conf Datei entfernt werden können. Zum Beispiel wird diese Zeile den Befehl FLUSHDB entfernen:
Mehr über die sichere Konfiguration eines Redis-Dienstes hier: https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04
Sie können auch in Echtzeit die ausgeführten Redis-Befehle überwachen mit dem Befehl monitor
oder die 25 langsamsten Abfragen mit slowlog get 25
abrufen.
Finden Sie weitere interessante Informationen über weitere Redis-Befehle hier: https://lzone.de/cheat-sheet/Redis
Innerhalb von Redis sind die Datenbanken Zahlen, die bei 0 beginnen. Sie können herausfinden, ob jemand verwendet wird, indem Sie die Ausgabe des Befehls info
im Abschnitt "Keyspace" überprüfen:
Oder Sie können einfach alle Keyspaces (Datenbanken) mit folgendem Befehl abrufen:
In diesem Beispiel werden die Datenbanken 0 und 1 verwendet. Datenbank 0 enthält 4 Schlüssel und Datenbank 1 enthält 1. Standardmäßig verwendet Redis Datenbank 0. Um beispielsweise Datenbank 1 zu dumpen, müssen Sie Folgendes tun:
Im Falle, dass Sie den folgenden Fehler -WRONGTYPE Operation against a key holding the wrong kind of value
erhalten, während Sie GET <KEY>
ausführen, liegt es daran, dass der Schlüssel möglicherweise etwas anderes als eine Zeichenkette oder eine Ganzzahl ist und einen speziellen Operator benötigt, um ihn anzuzeigen.
Um den Typ des Schlüssels zu kennen, verwenden Sie den TYPE
Befehl, Beispiel unten für Listen- und Hash-Schlüssel.
Dumpen Sie die Datenbank mit npm redis-dump oder python redis-utils
Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!
Hacking Einblicke Engagieren Sie sich mit Inhalten, die in den Nervenkitzel und die Herausforderungen des Hackens eintauchen
Echtzeit-Hack-Nachrichten Bleiben Sie auf dem Laufenden über die schnelllebige Hackerwelt durch Echtzeitnachrichten und Einblicke
Neueste Ankündigungen Bleiben Sie informiert über die neuesten Bug-Bounties, die gestartet werden, und wichtige Plattform-Updates
Treten Sie uns bei auf Discord und beginnen Sie noch heute mit den besten Hackern zusammenzuarbeiten!
redis-rogue-server kann automatisch eine interaktive Shell oder eine Reverse-Shell in Redis(<=5.0.5) erhalten.
Info von hier. Sie müssen den Pfad des Webseitenordners kennen:
Wenn die Webshell-Zugriffs-Ausnahme auftritt, können Sie die Datenbank nach dem Backup leeren und es erneut versuchen. Denken Sie daran, die Datenbank wiederherzustellen.
Wie im vorherigen Abschnitt könnten Sie auch einige HTML-Vorlagendateien überschreiben, die von einer Template-Engine interpretiert werden, und eine Shell erhalten.
Zum Beispiel, folgend diesem Bericht, können Sie sehen, dass der Angreifer eine rev shell in einem html injiziert hat, das von der nunjucks Template-Engine interpretiert wurde:
Beachten Sie, dass mehrere Template-Engines die Templates im Speicher cachen, sodass selbst wenn Sie sie überschreiben, das neue nicht ausgeführt wird. In diesen Fällen hat der Entwickler entweder das automatische Neuladen aktiviert oder Sie müssen einen DoS über den Dienst durchführen (und erwarten, dass er automatisch neu gestartet wird).
Beispiel von hier
Bitte beachten Sie, dass das Ergebnis von config get dir
nach anderen manuell ausgeführten Exploit-Befehlen geändert werden kann. Es wird empfohlen, es direkt nach dem Login in Redis auszuführen. In der Ausgabe von config get dir
könnten Sie das Home des Redis-Benutzers finden (normalerweise /var/lib/redis oder /home/redis/.ssh), und wenn Sie dies wissen, wissen Sie, wo Sie die Datei authenticated_users
schreiben können, um über ssh mit dem Benutzer redis zuzugreifen. Wenn Sie das Home eines anderen gültigen Benutzers kennen, bei dem Sie Schreibberechtigungen haben, können Sie dies ebenfalls ausnutzen:
Generieren Sie ein ssh-Öffentlich-Privat-Schlüsselpaar auf Ihrem PC: ssh-keygen -t rsa
Schreiben Sie den öffentlichen Schlüssel in eine Datei: (echo -e "\n\n"; cat ~/id_rsa.pub; echo -e "\n\n") > spaced_key.txt
Importieren Sie die Datei in Redis: cat spaced_key.txt | redis-cli -h 10.85.0.52 -x set ssh_key
Speichern Sie den öffentlichen Schlüssel in der authorized_keys-Datei auf dem Redis-Server:
Schließlich können Sie ssh zum Redis-Server mit dem privaten Schlüssel: ssh -i id_rsa redis@10.85.0.52
Diese Technik ist hier automatisiert: https://github.com/Avinash-acid/Redis-Server-Exploit
Das letzte Beispiel ist für Ubuntu, für Centos sollte der obige Befehl sein: redis-cli -h 10.85.0.52 config set dir /var/spool/cron/
Diese Methode kann auch verwendet werden, um Bitcoin zu verdienen: yam
Befolgen Sie die Anweisungen von https://github.com/n0b0dyCN/RedisModules-ExecuteCommand, um ein Redis-Modul zu kompilieren, um beliebige Befehle auszuführen.
Dann benötigen Sie eine Möglichkeit, das kompilierte Modul hochzuladen.
Laden Sie das hochgeladene Modul zur Laufzeit mit MODULE LOAD /path/to/mymodule.so
.
Listen Sie die geladenen Module auf, um zu überprüfen, ob es korrekt geladen wurde: MODULE LIST
.
Führen Sie Befehle aus:
Entladen Sie das Modul, wann immer Sie möchten: MODULE UNLOAD mymodule
.
Hier können Sie sehen, dass Redis den Befehl EVAL verwendet, um Lua-Code in einer Sandbox auszuführen. Im verlinkten Beitrag können Sie sehen, wie man es missbraucht, indem man die dofile-Funktion verwendet, aber offensichtlich ist dies nicht mehr möglich. Wenn Sie die Lua-Sandbox jedoch umgehen können, könnten Sie beliebige Befehle auf dem System ausführen. Außerdem können Sie im selben Beitrag einige Optionen sehen, um DoS zu verursachen.
Einige CVEs zur Umgehung von LUA:
Der Master-Redis synchronisiert alle Operationen automatisch mit dem Slave-Redis, was bedeutet, dass wir die verwundbare Redis als Slave-Redis betrachten können, das mit dem Master-Redis verbunden ist, den wir selbst kontrollieren. Dann können wir den Befehl in unser eigenes Redis eingeben.
Wenn Sie Klartext-Anfragen an Redis senden können, können Sie mit ihm kommunizieren, da Redis die Anfrage zeilenweise liest und nur mit Fehlern auf die Zeilen antwortet, die es nicht versteht:
Daher, wenn Sie eine SSRF vuln auf einer Website finden und Sie einige Header (vielleicht mit einer CRLF vuln) oder POST-Parameter kontrollieren können, werden Sie in der Lage sein, beliebige Befehle an Redis zu senden.
In Gitlab11.4.7 wurden eine SSRF-Schwachstelle und eine CRLF entdeckt. Die SSRF-Schwachstelle befand sich in der Importprojekt von URL-Funktionalität, als ein neues Projekt erstellt wurde, und erlaubte den Zugriff auf beliebige IPs in der Form [0:0:0:0:0:ffff:127.0.0.1] (dies wird auf 127.0.0.1 zugreifen), und die CRLF-vuln wurde einfach ausgenutzt, indem %0D%0A-Zeichen zur URL hinzugefügt wurden.
Daher war es möglich, diese Schwachstellen auszunutzen, um mit der Redis-Instanz zu kommunizieren, die Warteschlangen von gitlab verwaltet, und diese Warteschlangen auszunutzen, um Codeausführung zu erhalten. Die Payload für den Missbrauch der Redis-Warteschlange ist:
Und die URL-encode Anfrage missbraucht SSRF und CRLF, um ein whoami
auszuführen und die Ausgabe über nc
zurückzusenden, ist:
aus irgendeinem Grund (wie für den Autor von https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/ woher diese Informationen stammen) funktionierte die Ausnutzung mit dem git
-Schema und nicht mit dem http
-Schema.
Tritt dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!
Hacking Einblicke Engagieren Sie sich mit Inhalten, die in die Aufregung und Herausforderungen des Hackens eintauchen
Echtzeit-Hack-Nachrichten Bleiben Sie auf dem Laufenden mit der schnelllebigen Hack-Welt durch Echtzeit-Nachrichten und Einblicke
Neueste Ankündigungen Bleiben Sie informiert über die neuesten Bug-Bounties, die gestartet werden, und wichtige Plattform-Updates
Tritt uns bei Discord und beginne noch heute mit den besten Hackern zusammenzuarbeiten!
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)