6379 - Pentesting Redis
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hacking İçgörüleri Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun
Gerçek Zamanlı Hack Haberleri Gerçek zamanlı haberler ve içgörülerle hızlı tempolu hacking dünyasında güncel kalın
Son Duyurular Yeni başlayan bug bounty'ler ve önemli platform güncellemeleri hakkında bilgi sahibi olun
Bugün Discord üzerinden bize katılın ve en iyi hackerlarla işbirliği yapmaya başlayın!
Belgelerden: Redis, bir veritabanı, önbellek ve mesaj aracısı olarak kullanılan açık kaynaklı (BSD lisanslı), bellek içi veri yapısı deposudur.
Varsayılan olarak Redis, düz metin tabanlı bir protokol kullanır, ancak ssl/tls uygulayabileceğini de unutmamalısınız. Buradan ssl/tls ile Redis çalıştırmayı öğrenin.
Varsayılan port: 6379
Redis örneğinden bilgi elde etmeye yardımcı olabilecek bazı otomatik araçlar:
Redis, metin tabanlı bir protokoldür, sadece bir soket üzerinden komutu gönderebilirsiniz ve dönen değerler okunabilir olacaktır. Ayrıca, Redis'in ssl/tls kullanarak çalışabileceğini unutmayın (ama bu çok garip).
Normal bir Redis örneğinde, nc
kullanarak bağlanabilir veya redis-cli
de kullanabilirsiniz:
İlk komut olarak info
deneyebilirsiniz. Bu, Redis örneği hakkında bilgilerle çıktı döndürebilir veya aşağıdakine benzer bir şey dönebilir:
In this last case, this means that geçerli kimlik bilgilerine ihtiyacınız var to access the Redis instance.
Varsayılan olarak Redis kimlik bilgileri olmadan erişilebilir. Ancak, yalnızca şifre veya kullanıcı adı + şifre destekleyecek şekilde yapılandırılabilir.
redis.conf dosyasında requirepass
parametresi ile bir şifre ayarlamak mümkündür veya geçici olarak hizmet yeniden başlatılana kadar ona bağlanarak ve çalıştırarak: config set requirepass p@ss$12E45
.
Ayrıca, redis.conf dosyasında masteruser
parametresinde bir kullanıcı adı yapılandırılabilir.
Eğer yalnızca şifre yapılandırılmışsa, kullanılan kullanıcı adı "default"dır. Ayrıca, Redis'in yalnızca şifre veya kullanıcı adı + şifre ile yapılandırılıp yapılandırılmadığını dışarıdan bulmanın hiçbir yolu yoktur.
Bu tür durumlarda Redis ile etkileşimde bulunmak için geçerli kimlik bilgilerini bulmanız gerekecek bu yüzden brute-force denemeyi düşünebilirsiniz. Geçerli kimlik bilgilerini bulduysanız, bağlantıyı kurduktan sonra oturumu kimlik doğrulamanız gerekir komut ile:
Geçerli kimlik bilgileri ile yanıt verilecektir: +OK
Eğer Redis sunucusu anonim bağlantılara izin veriyorsa veya geçerli kimlik bilgileri elde ettiyseniz, hizmet için numaralandırma sürecini başlatmak için aşağıdaki komutları kullanabilirsiniz:
Diğer Redis komutları burada bulunabilir ve burada.
Bir örnek olarak, bir örneğin Redis komutları redis.conf dosyasında yeniden adlandırılabilir veya kaldırılabilir. Örneğin, bu satır FLUSHDB komutunu kaldıracaktır:
Daha fazla bilgi için Redis hizmetini güvenli bir şekilde yapılandırma hakkında burada: https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04
Ayrıca monitor
komutunu kullanarak Redis komutlarını gerçek zamanlı olarak izleyebilir veya slowlog get 25
ile en yavaş 25 sorguyu alabilirsiniz.
Daha fazla ilginç bilgi için daha fazla Redis komutu hakkında burada bulabilirsiniz: https://lzone.de/cheat-sheet/Redis
Redis içinde veritabanları 0'dan başlayan sayılardır. info
komutunun çıktısında "Keyspace" bölümünde herhangi birinin kullanılıp kullanılmadığını bulabilirsiniz:
Ya da tüm keyspace'leri (veritabanlarını) almak için:
Bu örnekte veritabanı 0 ve 1 kullanılıyor. Veritabanı 0 4 anahtar içeriyor ve veritabanı 1 1 içeriyor. Varsayılan olarak Redis veritabanı 0'ı kullanır. Örneğin veritabanı 1'i dökmek için şunu yapmalısınız:
GET <KEY>
komutunu çalıştırırken -WRONGTYPE Operation against a key holding the wrong kind of value
hatası alırsanız, bu anahtarın bir dize veya tam sayıdan farklı bir şey olabileceği ve görüntülemek için özel bir operatör gerektirdiği anlamına gelir.
Anahtarın türünü öğrenmek için TYPE
komutunu kullanın, aşağıda liste ve hash anahtarları için bir örnek verilmiştir.
Veritabanını npm ile dökün redis-dump veya python redis-utils
Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hacking İçgörüleri Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun
Gerçek Zamanlı Hack Haberleri Gerçek zamanlı haberler ve içgörülerle hızlı tempolu hacking dünyasında güncel kalın
Son Duyurular Yeni başlayan bug bounty'ler ve önemli platform güncellemeleri hakkında bilgi sahibi olun
Bugün Discord üzerinden bize katılın ve en iyi hackerlarla işbirliği yapmaya başlayın!
redis-rogue-server otomatik olarak Redis'te (<=5.0.5) etkileşimli bir shell veya ters shell alabilir.
buradan bilgi. Web sitesi klasörünün yolunu bilmelisiniz:
Eğer webshell erişim istisnası varsa, yedek aldıktan sonra veritabanını boşaltabilir ve tekrar deneyebilirsiniz, veritabanını geri yüklemeyi unutmayın.
Önceki bölümde olduğu gibi, bir şablon motoru tarafından yorumlanacak bazı html şablon dosyalarını da üzerine yazabilir ve bir shell elde edebilirsiniz.
Örneğin, bu yazıda görüldüğü gibi, saldırgan nunjucks şablon motoru tarafından yorumlanan bir html'de rev shell enjekte etmiştir:
Not edin ki birçok şablon motoru şablonları bellekte önbelleğe alır, bu nedenle onları üzerine yazsanız bile, yenisi çalıştırılmayacaktır. Bu durumlarda, ya geliştirici otomatik yeniden yüklemeyi aktif bırakmıştır ya da hizmet üzerinde bir DoS gerçekleştirmeniz gerekir (ve otomatik olarak yeniden başlatılmasını beklemelisiniz).
Örnek buradan
Lütfen config get dir
sonucunun diğer manuel istismar komutlarından sonra değiştirilebileceğini unutmayın. Bunu Redis'e giriş yaptıktan hemen sonra ilk olarak çalıştırmanızı öneririm. config get dir
çıktısında redis kullanıcısının ana dizinini bulabilirsiniz (genellikle /var/lib/redis veya /home/redis/.ssh), ve bunu bilerek authenticated_users
dosyasını ssh redis kullanıcısı ile erişmek için nereye yazabileceğinizi bilirsiniz. Yazma izinlerinizin olduğu başka geçerli bir kullanıcının ana dizinini biliyorsanız, bunu da kötüye kullanabilirsiniz:
Bilgisayarınızda bir ssh genel-özel anahtar çifti oluşturun: ssh-keygen -t rsa
Genel anahtarı bir dosyaya yazın: (echo -e "\n\n"; cat ~/id_rsa.pub; echo -e "\n\n") > spaced_key.txt
Dosyayı redis'e aktarın: cat spaced_key.txt | redis-cli -h 10.85.0.52 -x set ssh_key
Genel anahtarı redis sunucusundaki authorized_keys dosyasına kaydedin:
Son olarak, özel anahtar ile redis sunucusuna ssh yapabilirsiniz: ssh -i id_rsa redis@10.85.0.52
Bu teknik burada otomatikleştirilmiştir: https://github.com/Avinash-acid/Redis-Server-Exploit
Son örnek Ubuntu içindir, Centos için yukarıdaki komut şöyle olmalıdır: redis-cli -h 10.85.0.52 config set dir /var/spool/cron/
Bu yöntem ayrıca bitcoin kazanmak için de kullanılabilir :yam
https://github.com/n0b0dyCN/RedisModules-ExecuteCommand adresinden talimatları izleyerek rastgele komutları çalıştırmak için bir redis modülü derleyebilirsiniz.
Ardından, derlenmiş modülü yüklemek için bir yol bulmalısınız.
MODULE LOAD /path/to/mymodule.so
ile yüklenen modülü çalışma zamanında yükleyin.
Doğru bir şekilde yüklenip yüklenmediğini kontrol etmek için yüklenen modülleri listeleyin: MODULE LIST
Komutları çalıştırın:
İstediğiniz zaman modülü boşaltın: MODULE UNLOAD mymodule
Burada Redis'in EVAL komutunu Lua kodunu sandboxed olarak çalıştırmak için kullandığını görebilirsiniz. Bağlantılı yazıda dofile fonksiyonunu kullanarak bunu nasıl kötüye kullanacağınızı görebilirsiniz, ancak görünüşe göre bu artık mümkün değil. Yine de, Lua sandbox'ını atlatabilirseniz, sistemde rastgele komutlar çalıştırabilirsiniz. Ayrıca, aynı yazıdan bazı DoS neden olma seçeneklerini görebilirsiniz.
LUA'dan kaçmak için bazı CVE'ler:
Master redis'teki tüm işlemler otomatik olarak slave redis'e senkronize edilir, bu da zayıf redis'i bir slave redis olarak değerlendirebileceğimiz anlamına gelir; bu, kendi kontrolümüzdeki master redis'e bağlıdır, ardından kendi redis'imize komut girebiliriz.
Eğer Redis'e düz metin isteği gönderebiliyorsanız, onunla iletişim kurabilirsiniz çünkü Redis isteği satır satır okuyacak ve anlamadığı satırlara sadece hatalarla yanıt verecektir:
Bu nedenle, bir web sitesinde bir SSRF vuln bulursanız ve bazı headers'ı (belki bir CRLF vuln ile) veya POST parametrelerini kontrol edebiliyorsanız, Redis'e keyfi komutlar gönderebilirsiniz.
Gitlab11.4.7'de bir SSRF açığı ve bir CRLF keşfedildi. SSRF açığı, yeni bir proje oluştururken URL'den proje içe aktarma işlevselliği içinde bulunuyordu ve [0:0:0:0:0:ffff:127.0.0.1] biçiminde keyfi IP'lere erişime izin veriyordu (bu, 127.0.0.1'e erişecektir) ve CRLF vuln, URL'ye sadece %0D%0A karakterleri ekleyerek istismar edildi.
Bu nedenle, bu açıkları kullanarak Redis örneğiyle iletişim kurmak ve gitlab'dan kuyrukları yönetmek için bu kuyrukları istismar etmek mümkündü ve kod yürütme elde etmek için bu kuyrukları istismar etmek mümkündü. Redis kuyruk istismar yükü:
Ve URL encode isteği SSRF ve CRLF istismar ederek bir whoami
çalıştırmak ve çıktıyı nc
aracılığıyla geri göndermek için:
Bir sebepten dolayı (bu bilginin alındığı https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/ yazarı için) istismar git
şeması ile çalıştı ve http
şeması ile çalışmadı.
Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hacking İçgörüleri Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun
Gerçek Zamanlı Hack Haberleri Gerçek zamanlı haberler ve içgörülerle hızlı tempolu hacking dünyasında güncel kalın
Son Duyurular Yeni başlayan bug bounty'ler ve önemli platform güncellemeleri hakkında bilgi sahibi olun
Bugün Discord üzerinden bize katılın ve en iyi hackerlarla işbirliği yapmaya başlayın!
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)