ssrf漏洞攻击内网Redis复现

已于 2022-07-21 17:31:01 修改
阅读量1.1k 收藏 9
点赞数 3
分类专栏: 漏洞复现 文章标签: redis web安全 安全 网络安全
于 2022-07-21 12:13:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61503377/article/details/125909597
版权

预备知识

  1. SSRF简介

    SSRF(Server-Side Request Forgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。

    由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起一些网络请求,从而攻击内网的应用及获取内网数据。

    大都是由于服务端提供了从其他服务器获取数据的功能,比如使用户从指定的URL web应用获取图片、下载文件、读取文件内容等。但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发送请求,并返回对该目标地址请求的数据。

    最常见的例子:攻击者传入一个未经验证的URL,后端代码直接请求这个URL,就会造成SSRF漏洞。

  2. SSRF的类型

    1)显示对攻击者的响应(basic):在服务器获取攻击者要求的URL后,把响应发送回攻击者。

    2)不显示响应(blind):在服务器获取攻击者要求的URL后,不会把响应内容发送给攻击者,需要通过查看服务器日志判断是否存在服务端请求伪造漏洞。

  3. 拓展攻击面

    结合gopher协议(信息查找系统)、攻击内网FTP、Telnet、Redis、FastCGI、Memcache,也可以进行get、post请求。

实验环境

操作系统:

CentOS:SSRF漏洞环境 + 模拟内网Redis服务;ip:10.1.1.100

Kali Linux:Redis服务 + 漏洞利用;ip:10.1.1.200

辅助工具:Mozilla Firefox、burpsuite

环境部署

1.在CentOS机器中,检测端口开放情况:# netstat -tunlp

保证Apache、MySQL、PHP都开启。

  1. 下载源码放到网站根目录/var/www/html下:

`cd /var/www/html

下载:# wget http://tools.hetianlab.com/tools/T039.zip

解压:# unzip T039.zip`

3.Kali机器用浏览器访问 http://10.1.1.100/ssrf.html检测环境是否搭建成功:

实验步骤

CentOS机器开启Redis服务,kali机器写定时任务到CentOS机器中。

  1. Redis服务安装时默认绑定IP为127.0.0.1,此处不需要设置,查看Redis配置文件redis.conf:

#find / -name redis.conf

#vi /root/redis-5.0.4/redis.conf
在这里插入图片描述

  1. CentOS机器开启Redis服务:

    cd /usr/local/bin

    ./redis-server /root/redis-5.0.4/redis.conf

在这里插入图片描述

  1. 查看kali机器的Redis版本:

    cd /usr/redis/

    ./redis-server –v

在这里插入图片描述

  1. 启动Redis服务器:

    ./redis-server

在这里插入图片描述

5.另外开启一个终端,测试启动:

  # cd  /usr/redis/

  # ./redis-cli  ping

在这里插入图片描述

 启动成功。

6.在kali机器写一个redis反弹shell的bash脚本:

  # vi  shell.sh

在这里插入图片描述

 保存退出;

Redis的第0个数据库中添加key为1,名为root的定时任务,value字段最后会多一个n是因为echo重定向最后会自带一个换行符,位置为CentOS机器的/var/spool/cron/,10.1.1.200为获取反弹shell的本地IP地址,666为反弹shell的监听端口,可随意设置。

通过gopher协议攻击Redis,如果内网中的Redis存在未授权访问漏洞,当Redis服务以root权限运行时,利用gopher协议攻击内网中的Redis,通过写入定时任务可以实现反弹shell。
  1. Kali机器另外开启一个终端,使用socat进行端口转发,获取Redis攻击的TCP数据包:
# socat  -v tcp-listen:2333,fork  tcp-connect:127.0.0.1:6379

在这里插入图片描述

将本地的2333端口转发到Redis服务器的6379端口,访问本地的2333端口其实是访问Redis服务器的6379端口。

2.另启一个终端执行脚本:#bash shell.sh 127.0.0.1 2333
在这里插入图片描述

3.查看捕获到的数据
在这里插入图片描述

4.利用脚本将数据转换成适配于gopher协议的URL,转换规则:

  1)如果第一个字符是 > 或者 < ,则丢弃该行字符串,表示请求和返回的时间;

  2)如果前三个字符是 +OK,则丢弃该行字符串,表示返回的字符串;

  3)将\r字符替换成 %0d%0a;

  4)将空白行替换成 %0a。
  1. 先将socat获取的数据保存为socat.log文件,然后执行脚本进行数据转换:
    在这里插入图片描述

保存文件。

# python  tran2gopher.py  socat.log

在这里插入图片描述

  1. nc开启监听:

    nc -lvvp 666

在这里插入图片描述

7.攻击CentOS机器的Redis服务:

在‘有回显的SSRF’处输入gopher://127.0.0.1:6379/_+数据转换的内容:
在这里插入图片描述

点击‘TEST IT’后查看监听结果:
在这里插入图片描述

成功获取反弹shell。

在浏览器的‘SEE THE RESULT’处也可以看到定时任务写入成功:
在这里插入图片描述

漏洞修复

1.限制协议为HTTP、HTTPS;

2.禁止30x跳转;

3.设置URL白名单或限制内网IP。

曲折上升
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
SSRF漏洞redis
m0_56578216的博客
09-04 409
前提条件:1.安装环境已完成,故此省略不做。
Weblogic-SSRF漏洞
wodepzw的博客
12-11 476
SSRF漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp 我们在brupsuite下测试该漏洞。访问一个可以访问的IP:PORT,如http://127.0.0.1:7001 我们访问的IP是内ip地址,一般是拒绝访问的 当我们访问一个不存在的端口时,比如 http://127.0.0.1:7000 将会返回:co...
SSRF漏洞Redis利用篇
weixin_39664643的博客
01-21 3316
SSRF漏洞Redis利用篇 SSRF–(Server-side Request Forge, 服务端请求伪造) 定义:由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外探测或攻击服务 SSRF漏洞思维导图如下,本篇主要介绍利用SSRF漏洞攻击Redis SSRF攻击Redis 当存在SSRF漏洞且内Redis服务可以未授权访问时,利用Redis 任意文件写入成为十分常见的利用方式,一般内中会存在 root 权限运行的 Redis 服务,利用 Gopher 协议可以攻击
ssrf漏洞
m0_55631425的博客
03-27 2793
漏洞 cd /usr/local ls cd vulhub-master cd weblogic cd ssrf docker-compose up -d ifconfig查询下本机IP 访问http://192.168.106.139:7001/uddiexplorer/SearchPublicRegistries.jsp ,出以下界面 这里可能会遇到访问不上的情况,发物理机无法ping通虚拟机,虚拟机能ping通物理机 只需给VMnet8的虚拟卡禁用再启用就行 历经千辛万苦终于进来了 1、
Weblogic SSRF漏洞漏洞
qq_48744846的博客
04-14 3698
访问http://192.168.43.8:7001/uddiexplorer/,无需登录即可查看 uddiexplorer 应用: SSRF漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp,仔细查看发这里有参数传入的是URL,差不多可以断定就是在这个点存在 SSRF 漏洞了: 在 BurpSuite 下抓包测试该漏洞,查询请求的operator参数可以进行端口探测,当我们输入不同值时可得到...
WebLogic SSRF漏洞
11-25
WebLogic SSRF(Server Side Request Forgery)是一种络安全漏洞攻击者可以通过控制Web应用去发起针对内或者外的服务请求,实对目标系统的攻击。本文将详细介绍WebLogic SSRF的工作原理、攻击案例以及CVE-...
通过SSRF操作Redis主从制写Webshell_R3start1
08-03
1.使用 DICT 协议添加一条测试记录 2.设置保存路径 3.设置保存文件名 4.保存 1.连接远程主服务器 2.设置保存路径 3.设置保存文件名 4.保存
第三节 SSRF利用 - 内资源访问-01
09-15
"第三节 SSRF利用 - 内资源访问-01" 本节课程主要讲解了SSRF漏洞的_php_函数,包括file_get_contents、fsockopen()和curl_exec()三个函数的使用和可能存在的漏洞SSRF漏洞的定义 SSRF漏洞全称为Server-side ...
国光的手把手带你用 SSRF 打穿内靶场源码.zip
最新发布
01-16
在靶场中,安全专业人员可以模拟攻击者的行为,发系统和应用的漏洞,并进行渗透测试,从而及时修和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与...
SSRF(Server Side Request Forgery,SSRF漏洞.pdf
07-05
攻击者通常通过 SSRF 漏洞可以进行的活动包括扫描内部络、攻击服务、获取内敏感数据等。 一、SSRF 漏洞简介: 服务端请求伪造(SSRF漏洞的产生原因通常是服务器应用程序在处理客户端请求时,未能正确限制...
SSRF漏洞——redis
Hacker_by_V的博客
09-12 408
Redis介绍 Redis是一个开源的使用ANSI C语言编写,支持络,可基于内存亦和持久化的日志型,Key-Value数据库,并提供多种语言的API,通常被称为数据结构服务器。 通常点来说就是一个数据库,像这样的Redis经常用来去存放一些缓存,缓存文件之类的。 那么Redis通常会引发一些未授权的漏洞Redis因为配置不当可以未授权访问,攻击者不需要认证访问到内部数据,可导致敏感信息泄露,也可以恶意执行flushall来清空所有数据。 攻击者可以通过eval执行LUA代码或者通过数据备份功能往磁盘
Redis漏洞及搭配ssrf利用的姿势
qq_71467825的博客
06-24 2351
这篇博客就总结到这里,下次把经典一点的SSRF题目都总结到一起再学习一波,冲冲冲!!!
SSRF攻击Redis
cosmoslin的博客
10-27 1382
Redis简介 Redis是数据库的意思。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 Redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set –有序集合)和hash(哈希类型)。这些数据类型都支持p
weblogic ssrf-redis
SopRomeo的博客
12-07 524
环境 vulhub 感谢vulhub开源,非常方便漏洞 漏洞存在点 http://127.0.0.1:7001/uddiexplorer/ burpsuit抓包 发url请求 分别发送原来的包以及baidu.com的包 发报错信息返回不同 不能连接80端口,这说明我们是可以访问的 而weblogic是开放7001端口的,访问下7001端口试试 发回显了404no found,说明可以探测内端口是否开放 探测内ip地址 docker环境的段一般是172.* 根据回显不同,搜内
利用SSRF攻击Redis
LUOBIKUN的博客
10-20 4577
SSRF漏洞+redis前置知识实验环境搭建SSRF攻击Redis通过redis写入ssh公钥,获取操作系统权限;直接向Web目录中写webshell;linux计划任务执行命令反弹shell。 前置知识 利用SSRF攻击靶机的redis服务,需要涉及到的一些知识点: 1,Redis客户端和服务端通信过程,以及常用命令; 2,相关协议,例如dict://协议和gother协议的使用 dict://协议 词典络协议,在RFC 2009中进行描述。它的目标是超越Webster protocol,并允许客户端
Weblogic - SSRF攻击redis服务漏洞
HAKUNAMATATATTA的博客
12-05 1028
SSRF(Server-Side Request Forgery),服务端请求伪造,是一种由攻击者构造形成由服务端发起请求的一个漏洞,一般情况下,SSRF攻击的目标是从外部络无法访问的内部系统。
络安全——利用ssrf操作内redis写入计划任务反弹shell
Demo不是emo的博客
09-17 3383
今天的内容是ssrf漏洞的利用,环境选择的是discuz含有ssrf漏洞的版本,通过该漏洞来写入redis计划任务反弹shell(附带环境安装包)
SSRF攻击Redis写入webshell
good good study
05-19 6545
目录 攻击环境设计 redis服务器搭建 dict探测内端口 利用gopher协议写入webshell 关于ssrf攻击,传送门 -》SSRF漏洞原理与利用方式。当我们检测出一个站存在SSRF漏洞的时候,我们就可以探测当前主机开放的端口,而这些端口往往我们从外是不能直接探测到的,所以可以尝试利用ssrf探测内开放的端口。 漏洞利用前提: 知道站根目录,这里假设知道了根目录 根目录具有写文件的权限 攻击环境设计 操作系统:win2012 SSRF漏洞环境搭建,利用皮卡丘靶场 .
ssrf打mysql_浅析SSRF认证攻击Redis
weixin_31134719的博客
02-22 185
原标题:浅析SSRF认证攻击Redis 前段时间evoA师傅提到了SSRF可以攻击有密码认证的Redis服务,上的文章大部分都是未授权打Redis,而有关SSRF认证攻击Redis的文章很少,在这里简单分析一下,如有错误还望斧正。SSRFSSRF漏洞的原理是利用一个可以发起络请求的服务当作跳板来攻击内部其他服务,我们可以用其探测内信息、攻击应用、穿透防火墙、读取任意文件等。这里我们演示的...
以下哪些方式可以结合或利用redis服务进行攻击? 在redis中写入ssh公钥,获取操作系统权限 在crontab里写入定时任务,反弹shell 组合SSRF漏洞攻击redis服务 redis主从制RCE
06-09
以下方式可以结合或利用 Redis 服务进行攻击: 1. 在 Redis 中写入 SSH 公钥,获取操作系统权限:攻击者可以通过 Redis 服务将 SSH 公钥写入目标服务器中,然后利用该公钥获取操作系统权限。 2. 在 crontab 里写入定时任务,反弹 Shell:攻击者可以通过 Redis 服务将定时任务写入 crontab 中,并设置反弹 Shell 的命令,然后等待任务执行,获取 Shell 权限。 3. 组合 SSRF 漏洞攻击 Redis 服务:攻击者可以结合 SSRF 漏洞利用 Redis 服务,例如通过 SSRF 漏洞发起 Redis 内部络请求,然后获取 Redis 中的数据或执行一些操作,例如写入 SSH 公钥,获取操作系统权限等。 4. Redis 主从制 RCE:攻击者可以通过 Redis 主从漏洞,将恶意的 Redis 命令制到主服务器上,然后在从服务器上执行,从而获取 Shell 权限或进行其他的攻击操作。 因此,需要注意加强 Redis 服务的安全防护,例如限制 Redis 服务的络访问、配置 Redis 密码、限制 Redis 命令使用等,以减少被攻击的风险。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曲折上升

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值