序

今天在 i春秋上看到一堂课 ，讲Redis配置不当引起的安全问题。其实这个研究之前官网上就有声明 了，也看到微博上有人在说，但是由于一直在忙（lang），也没去看。今天周末，刚好看到i春秋上有课，正好去研究下。
i春秋的课主要讲了，如何根据Redis和ssh入侵入侵服务器。原理上并不复杂，只是利用的规则有点苛刻：

1. redis要暴露在公网上
2. Redis要没有设置密码
3. Redis要是以root的权限启动的

这简直就是非常没经验的实习生（比如我）才干的事好么！

看完视频准备进入实验环境，我的天，卡了半天根本进不去。后来心一横，直接去互联网上测试么好了~

渗透过程

祭出大杀器

ZoomEye搜索结果 搜索 service:redis city:hangzhou （不要问我为什么要搜hangzhou~ 我就是如此的热爱这座城市）

有结果了~
那些 ERR operation not permitted的应该是设置了密码的，然后提示你没有权限。下面有个ERR wrong number of arguments for 'get' command 的，这个提示说明redis是可以执行的。

然后根据在i春秋里学到的，先在本地建个ssh的秘钥

ssh-keygen

然后将公钥的内容写到一个文本中

写入公钥内容
这里有个坑： 写到文件中的时候一定要在前面加几行后面加几行，不要问我为什么。后面会说
然后把里面的内容设置到远程的redis服务器上，我设置了个key为test。
上传公钥到Redis

然后登陆远程服务器，可以看到公钥已经添加到redis的服务器上了

我们上传的key

然后就是最关键的了，redis有个save命令

SAVE 命令执行一个同步保存操作，将当前 Redis 实例的所有数据快照(snapshot)以 RDB 文件的形式保存到硬盘。

所以save命令就可以将我们test里的公钥 保存到/root/.ssh 下面(要有权限)，以实现我们猥琐的目的了(阴险脸
下面是步骤:
首先修改保存的路径

修改路径

然后修改保存的名称

修改保存名称

然后保存

保存
如上图所示就是成功了。
然后测试一下，duang~的一声，您猜肿么着，果然连上了！
ssh 连接

vi /root/.ssh/authorized_keys 可以看到我们插进去的公钥。看这个文件，如果你不前后空两行的话，你公钥的内容就跟redis的内容混在一起了，这就是上面为什么要加两行的原因了。

isa_pub

发给邮件给管理员，提醒下人家网站有漏洞，至此，本次试验就算结束了。
除了上面的这个,还有几点

• 由于Redis可以包含Lua代码，所以这个配置不当也可能引起远程代码执行的问题。我Lua并不好（hui）,这里就不演示了。
• Redis 的info会泄露些服务器的信息，为渗透人员提供有利的情报。

解决方案

• 不要把Redis暴露在公网下。
• 以非 root 权限启动 Redis
• 给Redis配个密码（不要配123456这种的，等于没配）
• 不要让没有经验的开发小白（比如我）去做运维的工作，很危险的

其他

• 这篇文章主要讲了Redis，其实mongodb、noSql、Memchace等等这些的也都一样，提供服务的环境一定要注意安全措施。
• 听说Redis作者已经开始开发real user的功能了，像某些用户会禁止其使用config功能。（然后我觉得这并没有神马卵用，你以为像我们这样的实习生会开启这样的功能么，图森破）

致谢

Redis
i春秋-Redis未授权访问缺陷解决方案