通过 SSRF 操作 Redis 主从 RCE1

preview
试读
14页
需积分: 0 1 下载量 145 浏览量 更新于2022-08-04 收藏 1.87MB PDF 举报
1.使用 DICT 协议添加一条测试记录 2.设置保存路径 3.设置保存文件名 4.保存 1.连接远程主服务器 2.设置保存路径 3.设置保存文件名 4.保存
通过 SSRF 操作 Redis 主从复制写 Webshell
Author : R3start and 曲云杰
20204119:57:37
废话
在家和小伙伴每天连麦将近十个小时,一起学习了三四天的内网知识,看各种名词、原理、操作手法看
到想吐,还好配合着实战来操作终究不会太枯燥,当然也记录了不少笔记涨了不少姿势,只是查资料的
过程中被各种复制粘贴的博客坑了一把,再者就是被域内的 system administrator 、域成员 、特
权账号 、域控的权限坑了一把。
这篇文章可能会比较啰嗦,因为我会把我踩过的坑都写上,最后才会写成功的操作。
起因
连麦搞域搞的头发昏的时候遇到了问题,在群里提问经几位大佬慷慨指点后准备撤退继续肝,却被曲老
板逮住了我这个失踪人口,经曲老板一顿指点和教育后说,空了帮忙看套 TP5 二开的程序,目前审出来
了几个问题:任意文件读取 SSRF 、还有一个反序列化。但是反序列化还在研究,让我帮忙看看
SSRF 能不能利用 ,还特意提了一下网站依赖 Redis 运行,无密码,绑定在 127.0.0.1 。我嘴上说
着不要,我要学习,手里却不老实的点了进去...(先上源码、先上源码)
SSRF 的点是没有做任何过滤,经典的 SSRF 漏洞代码
起了一个 NC , 测试一下支持的协议,随手测试一下相对熟悉的 dict 协议发现支持,而且知道目标的
curl 版本是 7.64.1 ,那就好办了。
不过还是按照老规矩,还是先把这个 SSRF 支持的协议,属于什么类型摸清楚。
经测试发现还支持: http https gopher telnet 等协议。
SSRF 的类型为无状态型 SSRF ,即不管你请求的端口是否开放、协议是否支持、网站是否能访
返回的状态都是一样的,你无法通过它扫描端口开放情况和使用 file 协议读取本地信息。
不支持 302 跳转。
踩坑
由于系统是曲老板自己搭建的,redis 运行权限底,无法写定时任务和私钥,而且要求最好只写
webshell
所以首先使用 DICT 协议随手往跟目录写出了一个文本,查看版本和压缩情况。
1.使用 DICT 协议添加一条测试记录
2.设置保存路径
3.设置保存文件名
4.保存
查看 1.txt 内容发现 redis 数据没有被压缩,版本为 5.0.8
/api/test/http_get?
url=dict://127.0.0.1:6379/set:xxxxxxxxxxxxxxxxxx:1111111111111
1
/api/test/http_get?url=dict://127.0.0.1:6379/config:set:dir:/www/wwwroot/1
/api/test/http_get?url=dict://127.0.0.1:6379/config:set:dbfilename:1.txt1
/api/test/http_get?url=dict://127.0.0.1:6379/save1
我们都天真的以为游戏结束了,可当我尝试写于 <?php phpinfo();?> 发现 <> "" 被实体编码
了!!! ? 问号更是直接截断!
尝试使用双 url 编码,写入 Redis 后的数据是被解码一次后的 url 编码!失败了。
想起曾经在 DVP 被抓去出 CTF 题的时候,遇到过类似的场景 DVP_CTF_WEB_Writeup
于是使用的 unicode 编码,发现写入后依旧是 Unicode 编码后的数据,所以还是失败了!!

剩余13页未读,继续阅读

资源推荐
资源评论
郭逗
  • 粉丝: 33
  • 资源: 318
上传资源 快速赚钱
voice
center-task 前往需求广场,查看用户热搜

最新资源