天创培训:您身边的信息安全培训专家!
技术中心
如何“组合拳”渗透开发者的本地数据库

 如果你是一名开发人员,平时可能在本地会运行一些数据库服务,比如Redis,、Memcached、Elasticsearch之流。相信很多产品都会依赖这一类的服务。

但是你可能不知道,这些本地运行的服务能跟你在外网访问的网站进行通信,黑客也许能借此从你本地服务中窃取数据。

攻击如何生效的

虽然笔者下面要讲的并不是新的东西,但攻击利用方法其实还是比较新颖的,因为以前很少有人把这些攻击组合在一起。在这里,我将结合两种不同技术进行测试,即“跨协议脚本”+“DNS重新绑定”。

跨协议脚本(cross protocol scripting)

第一种技术我们称之为“跨协议脚本”,有人在2001年曾经放出过这种攻击的细节。简单解释下攻击原理,那就是Redis、Memcached都存在一个简单的命令行协议,它会忽略无效的命令内容。这意味着,你的浏览器如果发送下面的HTTP请求到你本地的redis(localhost:6379),redis就会执行相应的SET命令。

POST / HTTP/1.1  Host: localhost:6379  SET abc 123  QUIT

恶意站点可以通过下面的form表单,借助你的手给你本地的redis发送恶意请求:

    SET abc 123  QUIT

而Elasticsearch协议则完全是基于HTTP,所以在通信时没有什么特别的技巧和需要注意的地方。

但是我们在执行上面的测试命令时,实际上是不能直接收到结果的。这是因为浏览器的同源策略,会在你发送请求给另一个域时,能进行限制让你无法取得返回的数据。那么,现在我们就需要用到上面讲的另外一门技术了。

DNS重绑定(DNS Rebinding)

简单解释下,DNS重绑定的攻击原理就是字面的意思,我们采用某种手段重新更新一下DNS A记录,绑定为别的地址。

为了绕过同源策略的保护,我们可以使用DNS重绑定技术,这种攻击需要一台跟你相对TTL值很低的服务器作为域名站点。一旦你浏览器访问了恶意网站,站点上的恶意代码会在特定的时刻,突然将站点DNS记录更改到另外一个的IP地址,比如你私有的IP地址(127.0.0.1),该恶意站点就能借此窃取你本地服务里面的数据。当然,这前提是在它访问你本地的服务时,能够通过相应的认证授权。

POC代码

我在extractdata.club网站上插入了攻击的POC代码,它会主动尝试连接你本地默认端口的Redis, Memcached和Elasticsearch服务。

大约一分钟后,这个网站会返回类似于下面的页面。

logo.jpg

这里的POC只会接收服务的版本信息,并不会去漫游你整个数据库,咱们的POC代码在这里

修复方案

很遗憾其实没有特别好的办法来解决这个问题,但是我们可以试着为本地运行的服务设置密码。笔者还想出了一个办法,那就是对于Redis和Memcached这两种服务,只要检测到连接是通过HTTP请求发送来的,就可以立即阻止并退出。

对于浏览器方面来讲,厂商可以在浏览器里面实现“DNS阻塞(DNS pinning)”。简单来说就是,一旦某个网站被加载完成,浏览器就需要忽略其DNS的变化。

浏览器厂商也可以把Redis和Memcached端口加入它们阻塞的端口列表中,现在已经在列表中的常见协议有SMTP和IRC。当然,这办法是治标不治本,如果出现了新的服务还是会出现漏洞的。

后记

Chromium开发人员正在致力于移除对HTTP/0.9的支持,这样浏览器就不能从Redisand和Memcached读取数据了。然而,即使这样是这样做,黑客仍然可以进行远程命令执行。

对某些开发者来讲,本地使用的测试数据库里可能不会有太多有价值的东西。但黑客一旦拥有了读写权限,可能会对开发者的电脑进行远程代码执行操作。比如,黑客可以用恶意的payload覆盖疑似Ruby marshalled或者Python pickled数据,这样开发者的电脑就可能会沦陷。

结论

这个POC证明了计算机安全是很难得到绝对的保证的。有的时候,软件单独工作的时候看起来会很安全,但它们在交互时就可能就会产生一定的漏洞。