6379 - Pentesting Redis
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Dołącz do HackenProof Discord serwera, aby komunikować się z doświadczonymi hackerami i łowcami bugów!
Wgląd w Hacking Zaangażuj się w treści, które zgłębiają dreszczyk emocji i wyzwania związane z hackingiem
Aktualności Hackingowe w Czasie Rzeczywistym Bądź na bieżąco z dynamicznym światem hackingu dzięki aktualnym wiadomościom i wglądom
Najnowsze Ogłoszenia Bądź informowany o najnowszych programach bug bounty oraz istotnych aktualizacjach platform
Dołącz do nas na Discord i zacznij współpracować z najlepszymi hackerami już dziś!
Z dokumentacji: Redis to otwarte źródło (licencja BSD), w pamięci magazyn danych, używany jako baza danych, pamięć podręczna i broker wiadomości).
Domyślnie Redis używa protokołu opartego na czystym tekście, ale musisz pamiętać, że może również implementować ssl/tls. Dowiedz się, jak uruchomić Redis z ssl/tls tutaj.
Domyślny port: 6379
Niektóre zautomatyzowane narzędzia, które mogą pomóc w uzyskaniu informacji z instancji redis:
Redis to protokół oparty na tekście, możesz po prostu wysłać polecenie w gnieździe a zwrócone wartości będą czytelne. Pamiętaj również, że Redis może działać z użyciem ssl/tls (ale to jest bardzo dziwne).
W regularnej instancji Redis możesz po prostu połączyć się za pomocą nc
lub możesz również użyć redis-cli
:
Pierwszym poleceniem, które możesz spróbować, jest info
. Może zwrócić dane z informacjami o instancji Redis lub coś takiego jak poniżej:
W tym ostatnim przypadku oznacza to, że potrzebujesz ważnych poświadczeń do uzyskania dostępu do instancji Redis.
Domyślnie Redis można uzyskać bez poświadczeń. Jednak można go skonfigurować tak, aby obsługiwał tylko hasło lub nazwę użytkownika + hasło.
Możliwe jest ustawienie hasła w pliku redis.conf za pomocą parametru requirepass
lub tymczasowo do momentu ponownego uruchomienia usługi, łącząc się z nią i uruchamiając: config set requirepass p@ss$12E45
.
Można również skonfigurować nazwę użytkownika w parametrze masteruser
w pliku redis.conf.
Jeśli skonfigurowano tylko hasło, używana nazwa użytkownika to "default". Należy również zauważyć, że nie ma sposobu, aby zewnętrznie sprawdzić, czy Redis został skonfigurowany tylko z hasłem, czy z nazwą użytkownika + hasłem.
W przypadkach takich jak ten będziesz musiał znaleźć ważne poświadczenia, aby interagować z Redis, więc możesz spróbować brute-force. W przypadku znalezienia ważnych poświadczeń musisz uwierzytelnić sesję po nawiązaniu połączenia za pomocą polecenia:
Ważne dane uwierzytelniające będą odpowiedziane: +OK
Jeśli serwer Redis zezwala na anonimowe połączenia lub jeśli uzyskałeś ważne dane uwierzytelniające, możesz rozpocząć proces enumeracji usługi, używając następujących komend:
Inne polecenia Redis można znaleźć tutaj i tutaj.
Zauważ, że polecenia Redis instancji mogą być zmieniane lub usuwane w pliku redis.conf. Na przykład ta linia usunie polecenie FLUSHDB:
Więcej informacji na temat bezpiecznej konfiguracji usługi Redis tutaj: https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04
Możesz również monitorować w czasie rzeczywistym polecenia Redis wykonywane za pomocą polecenia monitor
lub uzyskać 25 najwolniejszych zapytań za pomocą slowlog get 25
Znajdź więcej interesujących informacji na temat innych poleceń Redis tutaj: https://lzone.de/cheat-sheet/Redis
Wewnątrz Redis bazy danych to liczby zaczynające się od 0. Możesz sprawdzić, czy którakolwiek jest używana w wyniku polecenia info
w sekcji "Keyspace":
Lub możesz po prostu uzyskać wszystkie przestrzenie kluczy (bazy danych) za pomocą:
W tym przykładzie używane są bazy danych 0 i 1. Baza danych 0 zawiera 4 klucze, a baza danych 1 zawiera 1. Domyślnie Redis używa bazy danych 0. Aby zrzucić na przykład bazę danych 1, musisz wykonać:
W przypadku wystąpienia następującego błędu -WRONGTYPE Operation against a key holding the wrong kind of value
podczas uruchamiania GET <KEY>
, może to być spowodowane tym, że klucz może być czymś innym niż ciąg lub liczba całkowita i wymaga specjalnego operatora do wyświetlenia.
Aby poznać typ klucza, użyj polecenia TYPE
, przykład poniżej dla kluczy listy i hasha.
Zrzut bazy danych za pomocą npm redis-dump lub python redis-utils
Dołącz do HackenProof Discord, aby komunikować się z doświadczonymi hackerami i łowcami błędów!
Wgląd w hacking Zaangażuj się w treści, które zgłębiają emocje i wyzwania związane z hackingiem
Aktualności o hackingu w czasie rzeczywistym Bądź na bieżąco z dynamicznym światem hackingu dzięki aktualnym wiadomościom i wglądom
Najnowsze ogłoszenia Bądź informowany o najnowszych programach bug bounty oraz istotnych aktualizacjach platformy
Dołącz do nas na Discord i zacznij współpracować z najlepszymi hackerami już dziś!
redis-rogue-server może automatycznie uzyskać interaktywną powłokę lub powłokę zwrotną w Redis(<=5.0.5).
Info z tutaj. Musisz znać ścieżkę do folderu strony internetowej:
Jeśli wystąpi wyjątek dostępu do webshella, możesz opróżnić bazę danych po wykonaniu kopii zapasowej i spróbować ponownie, pamiętaj, aby przywrócić bazę danych.
Podobnie jak w poprzedniej sekcji, możesz również nadpisać niektóry plik szablonu html, który będzie interpretowany przez silnik szablonów i uzyskać powłokę.
Na przykład, w tym opisie możesz zobaczyć, że atakujący wstrzyknął rev shell w html interpretowany przez silnik szablonów nunjucks:
Zauważ, że kilka silników szablonów buforuje szablony w pamięci, więc nawet jeśli je nadpiszesz, nowy nie zostanie wykonany. W takich przypadkach albo deweloper pozostawił aktywne automatyczne przeładowanie, albo musisz przeprowadzić DoS na usłudze (i oczekiwać, że zostanie automatycznie uruchomiona ponownie).
Przykład stąd
Proszę pamiętać, że wynik config get dir
może się zmienić po innych ręcznych poleceniach exploit. Sugeruję uruchomić je jako pierwsze zaraz po zalogowaniu się do Redis. W wyniku config get dir
możesz znaleźć dom użytkownika redis (zwykle /var/lib/redis lub /home/redis/.ssh), a znając to, wiesz, gdzie możesz zapisać plik authenticated_users
, aby uzyskać dostęp przez ssh z użytkownikiem redis. Jeśli znasz dom innego ważnego użytkownika, do którego masz uprawnienia do zapisu, możesz również to wykorzystać:
Wygeneruj parę kluczy publicznych-prywatnych ssh na swoim komputerze: ssh-keygen -t rsa
Zapisz klucz publiczny do pliku: (echo -e "\n\n"; cat ~/id_rsa.pub; echo -e "\n\n") > spaced_key.txt
Importuj plik do redis: cat spaced_key.txt | redis-cli -h 10.85.0.52 -x set ssh_key
Zapisz klucz publiczny do pliku authorized_keys na serwerze redis:
Na koniec możesz ssh do serwera redis z kluczem prywatnym: ssh -i id_rsa redis@10.85.0.52
Ta technika jest zautomatyzowana tutaj: https://github.com/Avinash-acid/Redis-Server-Exploit
Ostatni przykład dotyczy Ubuntu, dla Centos powyższe polecenie powinno być: redis-cli -h 10.85.0.52 config set dir /var/spool/cron/
Ta metoda może być również używana do zarabiania bitcoinów: yam
Postępując zgodnie z instrukcjami z https://github.com/n0b0dyCN/RedisModules-ExecuteCommand, możesz skompilować moduł redis do wykonywania dowolnych poleceń.
Następnie potrzebujesz sposobu na przesłanie skompilowanego modułu.
Załaduj przesłany moduł w czasie wykonywania za pomocą MODULE LOAD /path/to/mymodule.so
.
Wyświetl załadowane moduły, aby sprawdzić, czy zostały poprawnie załadowane: MODULE LIST
.
Wykonaj polecenia:
Rozładuj moduł, kiedy chcesz: MODULE UNLOAD mymodule
.
Tutaj możesz zobaczyć, że Redis używa polecenia EVAL do wykonywania kodów Lua w piaskownicy. W powiązanym poście możesz zobaczyć jak to wykorzystać za pomocą funkcji dofile, ale najwyraźniej nie jest to już możliwe. Tak czy inaczej, jeśli możesz ominąć piaskownicę Lua, możesz wykonywać dowolne polecenia w systemie. Również z tego samego posta możesz zobaczyć kilka opcji do spowodowania DoS.
Niektóre CVEs do ucieczki z LUA:
Master redis synchronizuje wszystkie operacje automatycznie z slave redis, co oznacza, że możemy traktować podatny redis jako slave redis, połączony z master redis, który kontrolujemy, a następnie możemy wprowadzić polecenie do naszego własnego redis.
Jeśli możesz wysłać czysty tekst żądanie do Redis, możesz komunikować się z nim, ponieważ Redis będzie czytał żądanie linia po linii i po prostu odpowie błędami na linie, których nie rozumie:
Zatem, jeśli znajdziesz SSRF vuln na stronie internetowej i możesz kontrolować niektóre nagłówki (może z wykorzystaniem luki CRLF) lub parametry POST, będziesz w stanie wysłać dowolne polecenia do Redis.
W Gitlab11.4.7 odkryto lukę SSRF oraz CRLF. Luka SSRF znajdowała się w funkcjonalności importu projektu z URL podczas tworzenia nowego projektu i pozwalała na dostęp do dowolnych adresów IP w formie [0:0:0:0:0:ffff:127.0.0.1] (to uzyska dostęp do 127.0.0.1), a luka CRLF została wykorzystana poprzez dodanie %0D%0A do URL.
Zatem możliwe było wykorzystanie tych luk do komunikacji z instancją Redis, która zarządza kolejkami z gitlab i nadużycie tych kolejek w celu uzyskania wykonania kodu. Payload nadużycia kolejki Redis to:
A URL encode żądanie wykorzystujące SSRF i CRLF do wykonania whoami
i odesłania wyniku za pomocą nc
to:
Z jakiegoś powodu (jak dla autora https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/ skąd pochodzi ta informacja) eksploatacja działała z użyciem schematu git
, a nie http
.
Dołącz do HackenProof Discord, aby komunikować się z doświadczonymi hackerami i łowcami bugów!
Wgląd w Hacking Zaangażuj się w treści, które zagłębiają się w emocje i wyzwania związane z hackingiem
Aktualności Hackingowe w Czasie Rzeczywistym Bądź na bieżąco z dynamicznym światem hackingu dzięki aktualnym wiadomościom i wglądom
Najnowsze Ogłoszenia Bądź informowany o najnowszych nagrodach za błędy oraz istotnych aktualizacjach platformy
Dołącz do nas na Discord i zacznij współpracować z najlepszymi hackerami już dziś!
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)