本篇内容主要讲解“如何利用SSRF攻击内网Redis服务”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“如何利用SSRF攻击内网Redis服务”吧!REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。它通常被称为数据结构服务器,因为值(value)可以是 字符串(String), 哈希(Hash), 列表(list), (sets) 和(sorted sets)等类型。简单来说Redis就是一个以Key-Value形式存储数据的数据库。Redis数据库默认端口:6379系统版本:Ubuntu 20.04.1 LTS安装Redis:
apt-getinstall redis-server
修改Redis配置文件(设置密码,监听ip等):
vim /etc/redis/redis.conf
配置监听ip:
bind 127.0.0.1 ::1#只监听本地端口,如果需要远程登录可以在后面加上本机的ip,同时远程登录也可能造成未授权访问。
配置默认密码:
#requirepass foobared#默认无密码,要设置密码可以将前面的#删除,然后将foobared改为要设置的密码。
启动Redis:
/bin/redis-server /etc/redis/redis.conf
或者
service redis-server start#这种方法启动可能会造成Redis在web目录、计划任务目录、.ssh目录等其他一些目录没有写入的权限,就算是root身份启动,文件夹777权限也不行(就很迷)。如果遇到Redis在执行save时报错,就还是试试root身份第一种方法启动吧。参考这篇文章:https://www.cnblogs.com/linuxsec/articles/11221756.htmlRedis 服务器与客户端通过 RESP(REdis Serialization Protocol)协议通信。RESP实际上是一个支持以下数据类型的序列化协议:Simple Strings(简单字符串),error(错误),Integer(整数),Bulk Strings(多行字符串)和 array(数组)。客户端将命令作为 Bulk Strings 的RESP数组发送到Redis服务器。服务器根据命令实现回复一种RESP类型。在RESP中,某些数据的类型取决于第一个字节:
对于Simple Strings,回复的第一个字节是 +
对于error,回复的第一个字节是 –
对于Integer,回复的第一个字节是 :
对于Bulk Strings,回复的第一个字节是 $
对于array,回复的第一个字节是 *
此外,RESP能够使用稍后指定的Bulk Strings或Array的特殊变体来表示Null值。
在RESP中,协议的不同部分始终以”rn”(CRLF)结束。我们来抓取一段客户端与Redis服务器的通信数据包来具体分析一下。在linux中可以使用tcpdump来捕获数据包:命令:tcpdump -i lo -s 0 port 6379 -w redis.pcap
参数说明:
-i指定网卡(一般指定eth0,这里抓取本地接口的流量需要指定为lo)
-s抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包
port指定抓取的端口
-w保存到文件,后接保存的路径与文件名然后我们登录客户端,这里我设置了密码,所以先认证,然后再进行set key的操作。之后我们将抓到的数据包导出,用wireshark打开,然后追踪TCP流结合我们上面对RESP协议的解释,我们来逐行分析:那么我们设想一下如果我们直接发送这样格式的数据包能否直接对Redis进行操作呢,我们来尝试一下。我们将客户端发送的数据包进行一次url编码。然后在本机利用 curl 和 gopher 协议发送给 Redis 服务器。我么可以看到,服务器给我们返回了两个+OK说明我们的命令执行成功了,我我们再直接看一下我们设置key 的值,再次验证一下。可以看到确实是我们刚刚设置的值,再次证明了这样的方法是行的通的。那么我们不按照RESP协议的格式发送,如果直接发送命令是否可以呢,我们再试试:这次我们就不设置key值了,我们直接获取key的值:我们可以看到成功返回了我们刚刚设置的key的值,说明直接发送命令的方法也是可行的。知道了如何让Redis服务器执行我们的命令,那么接下来我们就来看如何攻击来达到 getshell 的目的。攻击Redis一般有3种思路:在web目录写webshell、在.ssh目录写公钥,我们利用私钥登录ssh、利用定时任务反弹shell。这三种方法都是利用Redis的备份功能实现的。在攻击Redis时如果配置中设置了监听本机ip,比如192.168.x.x,或公网ip那么我们就可以直接远程访问6379端口与Redis通信了,但一般都只会监听本地端口,这时候我们就要利用到SSRF了。方法同样也很简单,只需要在有SSRF漏洞的页面将数据进行两次URL编码发送就可以了,具体方法可以看我之前的文章,这里就不多介绍了。默认Redis是没有设置密码的,这时候我们可以直接访问,但是如果设置了密码,我们就要先对密码进行暴破,得到了正确的密码才能够进行进一步的攻击。我们使用下面这个python脚本进行密码暴破,在脚本同目录下放一个文件名为password.txt的字典然后进暴破就可以了。这里我们随便写几个密码来示范。可以看到,成功找到了密码。首先我们要知道Redis如何写入文件:Redis 中可以导出当前数据库中的 key 和 value并且可以通过命令配置导出路径和文件名:于是我们将随便一个key的值设为一句话木马,然后配置导出路径为web目录,导出文件名为php文件,这样执行导出命令就可以在web目录下写入webshell了。我们将上一个脚本中获取到密码后在加上一段写入shell的脚本:执行后成功写入,我们到web目录下看看我们写入的文件。可以看到格式比较乱,不过由于我们在与句话木马前加了几个换行符还是能够清晰的看到我们的一句话木马。那么我们直接用蚁剑或是菜刀连接看看。可以看到成功连接到我们的webshell。写入公钥与写webshell的思路是一样的,只是改一下写入的路径、文件名以及写入的内容。不过需要注意,这种方法需要确保靶机允许使用密钥登录。开启方法:需要修改 ssh 配置文件 /etc/ssh/sshd_config我们先直接尝试ssh登录靶机试试:可以看到直接登录是需要输入密码的。那么我们开始攻击。我们先在攻击机上生成一对公钥和私钥。一路回车就可以了,然后我们进入家目录的 /.ssh 目录下,就可以看到我们生成的公钥和私钥了。公钥内容:然后我们将上面的脚本进行略微的改动,将写入路径设为:/root/.ssh ,写入文件名设为:authorized_keys,写入的内容就是我们生成的公钥。只修改以上三行就可以了。然后我们运行脚本写入成功,这时候我们再尝试登录看看。可以看到我们成功免密登录了靶机。关于定时任务反弹shell需要注意:只能Centos上使用,Ubuntu上行不通,原因如下:因为默认redis写文件后是644的权限,但ubuntu要求执行定时任务文件/var/spool/cron/crontabs/
这篇文章主要介绍了linux下如何删除文件夹的相关知识,内容详细易懂,操作简单快捷,具有一定借鉴价值,相信大家阅读完这篇linux下如何删除文件夹文章都会有所收获,下面我们一起来看看吧。linux删除目录很简单,很多人还是习惯用rmdir,不过一旦目录非空,就…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
