* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Redis é um armazenador de estrutura de dados em memória de código aberto (licenciado pela BSD), usado como um banco de dados, cache e message broker (a partir [daqui](https://redis.io/topics/introduction)). Por padrão e comumente, o Redis usa um protocolo baseado em texto simples, mas você deve ter em mente que ele também pode implementar **ssl/tls**. Aprenda como [executar o Redis com ssl/tls aqui](https://fossies.org/linux/redis/TLS.md).
O Redis é um **protocolo baseado em texto**, você pode simplesmente **enviar o comando em um socket** e os valores retornados serão legíveis. Lembre-se também de que o Redis pode ser executado usando **ssl/tls** (mas isso é muito estranho).
O **primeiro comando** que você pode tentar é o **`info`**. Ele **pode retornar uma saída com informações** da instância do Redis **ou algo** como o seguinte é retornado:
**Por padrão**, o Redis pode ser acessado **sem credenciais**. No entanto, ele pode ser **configurado** para suportar **apenas senha ou nome de usuário + senha**.\
É possível **definir uma senha** no arquivo _**redis.conf**_ com o parâmetro `requirepass`**ou temporariamente** até que o serviço seja reiniciado conectando-se a ele e executando: `config set requirepass p@ss$12E45`.\
Além disso, um **nome de usuário** pode ser configurado no parâmetro `masteruser` dentro do arquivo _**redis.conf**_.
Em casos como este, você precisará **encontrar credenciais válidas** para interagir com o Redis, então você pode tentar [**força bruta**](../generic-methodologies-and-resources/brute-force.md#redis).\
**Caso encontre credenciais válidas, você precisa autenticar a sessão** após estabelecer a conexão com o comando:
Se a instância do Redis estiver aceitando conexões **anônimas** ou se você encontrou algumas **credenciais válidas**, você pode **começar a enumerar** o serviço com os seguintes comandos:
**Outros comandos Redis** [**podem ser encontrados aqui**](https://redis.io/topics/data-types-intro) **e** [**aqui**](https://lzone.de/cheat-sheet/Redis)**.**\
Observe que os **comandos Redis de uma instância podem ser renomeados** ou removidos no arquivo _redis.conf_. Por exemplo, esta linha removerá o comando FLUSHDB:
Mais informações sobre a configuração segura de um serviço Redis podem ser encontradas aqui: [https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04](https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04)
Você também pode **monitorar em tempo real os comandos Redis** executados com o comando **`monitor`** ou obter os **25 comandos mais lentos** com **`slowlog get 25`**
Dentro do Redis, os **bancos de dados são números que começam em 0**. Você pode verificar se algum deles está sendo usado na saída do comando `info` dentro do bloco "Keyspace":
Nesse exemplo, **o banco de dados 0 e 1** estão sendo usados. **O banco de dados 0 contém 4 chaves e o banco de dados 1 contém 1**. Por padrão, o Redis usará o banco de dados 0. Para fazer o dump do banco de dados 1, por exemplo, você precisa fazer o seguinte:
Caso você receba o seguinte erro `-WRONGTYPE Operação contra uma chave que contém um tipo de valor errado` ao executar `GET <KEY>`, é porque a chave pode ser algo diferente de uma string ou um inteiro e requer um operador especial para exibi-la.
**Despeje o banco de dados com npm** [**redis-dump**](https://www.npmjs.com/package/redis-dump) **ou python** [**redis-utils**](https://pypi.org/project/redis-utils/)
[**redis-rogue-server**](https://github.com/n0b0dyCN/redis-rogue-server) pode obter automaticamente um shell interativo ou um shell reverso no Redis (<=5.0.5).
Informações obtidas [**aqui**](https://web.archive.org/web/20191201022931/http://reverse-tcp.xyz/pentest/database/2017/02/09/Redis-Hacking-Tips.html). Você precisa saber o **caminho** da pasta do **site web**:
Assim como na seção anterior, você também pode sobrescrever algum arquivo de modelo html que será interpretado por um mecanismo de modelo e obter um shell.
Por exemplo, seguindo [**este writeup**](https://www.neteye-blog.com/2022/05/cyber-apocalypse-ctf-2022-red-island-writeup/), você pode ver que o invasor injetou um **shell reverso em um html** interpretado pelo **mecanismo de modelo nunjucks:**
Observe que **vários mecanismos de modelo armazenam em cache** os modelos na **memória**, então mesmo que você os sobrescreva, o novo não será executado. Nesses casos, ou o desenvolvedor deixou a recarga automática ativa ou você precisa fazer um DoS sobre o serviço (e esperar que ele seja reiniciado automaticamente).
Por favor, esteja ciente de que o resultado de **`config get dir`** pode ser alterado após outros comandos de exploração manual. Sugere-se executá-lo primeiro logo após o login no Redis. Na saída de **`config get dir`**, você pode encontrar o **diretório raiz** do **usuário redis** (geralmente _/var/lib/redis_ ou _/home/redis/.ssh_), e sabendo disso, você sabe onde pode escrever o arquivo `authenticated_users` para acessar via ssh **com o usuário redis**. Se você conhece o diretório raiz de outro usuário válido onde possui permissões de gravação, também pode abusar dele:
1. Seguindo as instruções de [https://github.com/n0b0dyCN/RedisModules-ExecuteCommand](https://github.com/n0b0dyCN/RedisModules-ExecuteCommand), você pode **compilar um módulo redis para executar comandos arbitrários**.
2. Em seguida, você precisa de alguma maneira de **carregar o módulo compilado**
3.**Carregue o módulo carregado** em tempo de execução com `MODULE LOAD /path/to/mymodule.so`
4.**Liste os módulos carregados** para verificar se foi carregado corretamente: `MODULE LIST`
[**Aqui**](https://www.agarri.fr/blog/archives/2014/09/11/trying\_to\_hack\_redis\_via\_http\_requests/index.html) você pode ver que o Redis usa o comando **EVAL** para executar **código Lua em sandbox**. No post vinculado, você pode ver **como abusar disso** usando a função **dofile**, mas [aparentemente](https://stackoverflow.com/questions/43502696/redis-cli-code-execution-using-eval) isso não é mais possível. De qualquer forma, se você puder **burlar o sandbox** Lua, poderá **executar comandos arbitrários** no sistema. Além disso, do mesmo post, você pode ver algumas **opções para causar DoS**.
No redis mestre, todas as operações são automaticamente sincronizadas com o redis escravo, o que significa que podemos considerar a vulnerabilidade do redis como um redis escravo, conectado ao redis mestre que controlamos, então podemos inserir o comando em nosso próprio redis.
Se você pode enviar uma solicitação em **texto claro** para o **Redis**, você pode **comunicar-se com ele** já que o Redis lerá linha por linha a solicitação e apenas responderá com erros às linhas que não entender:
Portanto, se você encontrar uma vulnerabilidade **SSRF** em um site e puder **controlar** alguns **cabeçalhos** (talvez com uma vulnerabilidade **CRLF**) ou **parâmetros POST**, você poderá enviar comandos arbitrários para o Redis.
No **Gitlab11.4.7** foram descobertas uma vulnerabilidade **SSRF** e uma **CRLF**. A vulnerabilidade **SSRF** estava na funcionalidade de **importação de projeto a partir de URL** ao criar um novo projeto e permitia acessar IPs arbitrários no formato \[0:0:0:0:0:ffff:127.0.0.1] (isso acessará 127.0.0.1), e a vulnerabilidade **CRLF** foi explorada apenas adicionando caracteres **%0D%0A** à **URL**.
Portanto, foi possível **abusar dessas vulnerabilidades para falar com a instância Redis** que **gerencia filas** do **gitlab** e abusar dessas filas para **obter execução de código**. A carga útil de abuso da fila Redis é:
_Por alguma razão (como para o autor de_ [_https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/_](https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/) _de onde essa informação foi retirada), a exploração funcionou com o esquema `git` e não com o esquema `http`._
* Você trabalha em uma **empresa de segurança cibernética**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
