* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Redis es una tienda de estructuras de datos en memoria de código abierto (con licencia BSD), utilizada como base de datos, caché y broker de mensajes (de [aquí](https://redis.io/topics/introduction)). Por defecto y comúnmente Redis utiliza un protocolo basado en texto plano, pero debes tener en cuenta que también puede implementar **ssl/tls**. Aprende cómo [ejecutar Redis con ssl/tls aquí](https://fossies.org/linux/redis/TLS.md).
Redis es un **protocolo basado en texto**, puedes simplemente **enviar el comando en un socket** y los valores devueltos serán legibles. También recuerda que Redis puede ejecutarse utilizando **ssl/tls** (pero esto es muy raro).
El **primer comando** que podrías probar es **`info`**. Puede **devolver una salida con información** de la instancia de Redis **o algo** como lo siguiente es devuelto:
**Por defecto**, Redis se puede acceder **sin credenciales**. Sin embargo, se puede **configurar** para admitir **solo contraseña o usuario + contraseña**.\
Es posible **establecer una contraseña** en el archivo _**redis.conf**_ con el parámetro `requirepass`**o temporalmente** hasta que se reinicie el servicio conectándose a él y ejecutando: `config set requirepass p@ss$12E45`.\
Además, se puede configurar un **nombre de usuario** en el parámetro `masteruser` dentro del archivo _**redis.conf**_.
En casos como este, necesitarás **encontrar credenciales válidas** para interactuar con Redis, por lo que podrías intentar [**ataques de fuerza bruta**](../generic-methodologies-and-resources/brute-force.md#redis).\
**En caso de encontrar credenciales válidas, necesitarás autenticar la sesión** después de establecer la conexión con el comando:
Si la instancia de Redis está aceptando conexiones **anónimas** o encontraste algunas **credenciales válidas**, puedes **comenzar a enumerar** el servicio con los siguientes comandos:
**Otros comandos Redis** [**se pueden encontrar aquí**](https://redis.io/topics/data-types-intro) **y** [**aquí**](https://lzone.de/cheat-sheet/Redis)**.**\
Tenga en cuenta que los **comandos Redis de una instancia se pueden renombrar** o eliminar en el archivo _redis.conf_. Por ejemplo, esta línea eliminará el comando FLUSHDB:
Más información sobre cómo configurar de manera segura un servicio Redis aquí: [https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04](https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04)
También puedes **monitorizar en tiempo real los comandos Redis** ejecutados con el comando **`monitor`** o obtener las **25 consultas más lentas** con **`slowlog get 25`**
Dentro de Redis, las **bases de datos son números que comienzan desde 0**. Puedes encontrar si alguna está en uso en la salida del comando `info` dentro del fragmento "Keyspace":
En ese ejemplo se están utilizando las **bases de datos 0 y 1**. **La base de datos 0 contiene 4 claves y la base de datos 1 contiene 1**. Por defecto, Redis utilizará la base de datos 0. Para hacer un volcado de la base de datos 1, por ejemplo, debes hacer lo siguiente:
En caso de que obtenga el siguiente error `-WRONGTYPE Operación contra una clave que contiene un tipo de valor incorrecto` mientras ejecuta `GET <KEY>`, es porque la clave puede ser algo distinto a una cadena o un entero y requiere un operador especial para mostrarla.
**Volcar la base de datos con npm** [**redis-dump**](https://www.npmjs.com/package/redis-dump) **o python** [**redis-utils**](https://pypi.org/project/redis-utils/)
[**redis-rogue-server**](https://github.com/n0b0dyCN/redis-rogue-server) puede obtener automáticamente un shell interactivo o un shell inverso en Redis (<=5.0.5).
Información obtenida de [**aquí**](https://web.archive.org/web/20191201022931/http://reverse-tcp.xyz/pentest/database/2017/02/09/Redis-Hacking-Tips.html). Debe conocer la **ruta** de la **carpeta del sitio web**:
Si la excepción de acceso a la webshell ocurre, puedes vaciar la base de datos después de hacer una copia de seguridad e intentarlo de nuevo, recuerda restaurar la base de datos.
Como en la sección anterior, también puedes sobrescribir algún archivo de plantilla HTML que será interpretado por un motor de plantillas y obtener una shell.
Por ejemplo, siguiendo [**este artículo**](https://www.neteye-blog.com/2022/05/cyber-apocalypse-ctf-2022-red-island-writeup/), puedes ver que el atacante inyectó una **shell inversa en un archivo HTML** interpretado por el **motor de plantillas nunjucks:**
Ten en cuenta que **varios motores de plantillas cachéan** las plantillas en **memoria**, por lo que incluso si las sobrescribes, la nueva no se **ejecutará**. En estos casos, o bien el desarrollador dejó activada la recarga automática o necesitas hacer un DoS en el servicio (y esperar a que se reinicie automáticamente).
Ten en cuenta que el resultado de **`config get dir`** puede cambiar después de otros comandos de explotación manual. Se sugiere ejecutarlo primero justo después de iniciar sesión en Redis. En la salida de **`config get dir`** puedes encontrar el **directorio raíz** del usuario **redis** (generalmente _/var/lib/redis_ o _/home/redis/.ssh_), y sabiendo esto sabes dónde puedes escribir el archivo `authenticated_users` para acceder vía ssh **con el usuario redis**. Si conoces el directorio raíz de otro usuario válido donde tengas permisos de escritura, también puedes abusar de él:
1. Siguiendo las instrucciones de [https://github.com/n0b0dyCN/RedisModules-ExecuteCommand](https://github.com/n0b0dyCN/RedisModules-ExecuteCommand) puedes **compilar un módulo Redis para ejecutar comandos arbitrarios**.
2. Luego necesitas alguna forma de **subir el módulo compilado**
3.**Cargar el módulo subido** en tiempo de ejecución con `MODULE LOAD /path/to/mymodule.so`
4.**Listar los módulos cargados** para comprobar que se cargó correctamente: `MODULE LIST`
[**Aquí**](https://www.agarri.fr/blog/archives/2014/09/11/trying\_to\_hack\_redis\_via\_http\_requests/index.html) puedes ver que Redis utiliza el comando **EVAL** para ejecutar **código Lua en un sandbox**. En el post vinculado puedes ver **cómo abusarlo** usando la función **dofile**, pero [aparentemente](https://stackoverflow.com/questions/43502696/redis-cli-code-execution-using-eval) esto ya no es posible. De todos modos, si puedes **burlar el sandbox** de Lua, podrías **ejecutar comandos arbitrarios** en el sistema. Además, en el mismo post puedes ver algunas **opciones para causar DoS**.
En Redis, todas las operaciones del maestro se sincronizan automáticamente con el esclavo, lo que significa que podemos considerar la vulnerabilidad de Redis como un esclavo de Redis, conectado al maestro de Redis que controlamos, y luego podemos ingresar el comando en nuestro propio Redis.
Si puedes enviar una solicitud en **texto claro** a **Redis**, puedes **comunicarte con él** ya que Redis leerá línea por línea la solicitud y simplemente responderá con errores a las líneas que no entienda:
Por lo tanto, si encuentra una vulnerabilidad **SSRF** en un sitio web y puede **controlar** algunos **encabezados** (tal vez con una vulnerabilidad **CRLF**) o **parámetros POST**, podrá enviar comandos arbitrarios a Redis.
En **Gitlab11.4.7** se descubrió una vulnerabilidad **SSRF** y una **CRLF**. La vulnerabilidad **SSRF** estaba en la funcionalidad de **importación de proyectos desde una URL** al crear un nuevo proyecto y permitía acceder a IPs arbitrarias en la forma \[0:0:0:0:0:ffff:127.0.0.1] (esto accederá a 127.0.0.1), y la vulnerabilidad **CRLF** se explotó simplemente agregando caracteres **%0D%0A** a la **URL**.
Por lo tanto, fue posible **abusar de estas vulnerabilidades para hablar con la instancia Redis** que **administra colas** desde **gitlab** y abusar de esas colas para **obtener la ejecución de código**. La carga útil de abuso de la cola Redis es:
_Por alguna razón (como para el autor de_ [_https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/_](https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/) _de donde se tomó esta información) la explotación funcionó con el esquema `git` y no con el esquema `http`._
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
