序
今天在 i春秋上看到一堂课 ,讲Redis配置不当引起的安全问题。其实这个研究之前官网上就有声明 了,也看到微博上有人在说,但是由于一直在忙(lang),也没去看。今天周末,刚好看到i春秋上有课,正好去研究下。
i春秋的课主要讲了,如何根据Redis和ssh入侵入侵服务器。原理上并不复杂,只是利用的规则有点苛刻:
1. redis要暴露在公网上
2. Redis要没有设置密码
3. Redis要是以root的权限启动的
这简直就是非常没经验的实习生(比如我)才干的事好么!
看完视频准备进入实验环境,我的天,卡了半天根本进不去。后来心一横,直接去互联网上测试么好了~
渗透过程
祭出大杀器
ZoomEye搜索结果 搜索
service:redis city:hangzhou (不要问我为什么要搜hangzhou~ 我就是如此的热爱这座城市)
有结果了~
那些 ERR operation not permitted的应该是设置了密码的,然后提示你没有权限。下面有个ERR wrong number of arguments for 'get' command 的,这个提示说明redis是可以执行的。
然后根据在i春秋里学到的,先在本地建个ssh的秘钥
ssh-keygen
然后将公钥的内容写到一个文本中
写入公钥内容
这里有个坑: 写到文件中的时候一定要在前面加几行后面加几行,不要问我为什么。后面会说
然后把里面的内容设置到远程的redis服务器上,我设置了个key为test。
上传公钥到Redis
然后登陆远程服务器,可以看到公钥已经添加到redis的服务器上了
我们上传的key
然后就是最关键的了,redis有个save命令
SAVE 命令执行一个同步保存操作,将当前 Redis 实例的所有数据快照(snapshot)以 RDB 文件的形式保存到硬盘。
所以save命令就可以将我们test里的公钥 保存到/root/.ssh 下面(要有权限),以实现我们猥琐的目的了(阴险脸
下面是步骤:
首先修改保存的路径
修改路径
然后修改保存的名称
修改保存名称
然后保存
保存
如上图所示就是成功了。
然后测试一下,duang~的一声,您猜肿么着,果然连上了!
ssh 连接
vi /root/.ssh/authorized_keys 可以看到我们插进去的公钥。看这个文件,如果你不前后空两行的话,你公钥的内容就跟redis的内容混在一起了,这就是上面为什么要加两行的原因了。
isa_pub
发给邮件给管理员,提醒下人家网站有漏洞,至此,本次试验就算结束了。
除了上面的这个,还有几点
- 由于
Redis可以包含Lua代码,所以这个配置不当也可能引起远程代码执行的问题。我Lua并不好(hui),这里就不演示了。 - Redis 的info会泄露些服务器的信息,为渗透人员提供有利的情报。
解决方案
- 不要把Redis暴露在公网下。
- 以非 root 权限启动 Redis
- 给Redis配个密码(不要配123456这种的,等于没配)
- 不要让没有经验的开发小白(比如我)去做运维的工作,很危险的
其他
- 这篇文章主要讲了Redis,其实mongodb、noSql、Memchace等等这些的也都一样,提供服务的环境一定要注意安全措施。
- 听说Redis作者已经开始开发real user的功能了,像某些用户会禁止其使用config功能。(然后我觉得这并没有神马卵用,你以为像我们这样的实习生会开启这样的功能么,图森破)
