pikachu-ssrf_redis

news/2025/3/15 12:00:57/

目录

SSRF

1、SSRF漏洞介绍:

2、SSRF漏洞原理:

3、SSRF漏洞利用手段:

4、SSRF漏洞绕过方法:

SSRF(curl)用法

1、通过网址访问链接

2、利用file协议查看本地文件

3、dict协议扫描内网主机开放端口

4.gopher:威胁最大

gopherus:

在/var/www/html下写入webs hell;

来看看它在干什么:清空,把写入的value写入到shell.php下,落盘在/var/www/html

反弹shell:


 

SSRF

1、SSRF漏洞介绍:


SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。

2、SSRF漏洞原理:


SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。SSRF是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。
各个协议调用探针:http,file,dict,ftp,gopher等。

3、SSRF漏洞利用手段:


(1)可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的);
(2)攻击运行在内网或本地的有漏洞程序(比如溢出);
(3)可以对内网Web应用进行指纹识别,原理是通过请求默认的文件得到特定的指纹;
(4)攻击内网或外网有漏洞的Web应用;
(5)使用file:///协议读取本地文件(或其他协议)

4、SSRF漏洞绕过方法:


(1)@          http://abc.com@127.0.0.1
(2)添加端口号      http://127.0.0.1:8080
(3)短地址        https://0x9.me/cuGfD
(4)可以指向任意ip的域名  xip.io
(5)ip地址转换成进制来访问 192.168.0.1=3232235521(十进制)
(6)非HTTP协议
(7)DNS Rebinding

SSRF(curl)用法


我们先看下curl的用法:https://www.runoob.com/php/php-ref-curl.html

PHP支持的由Daniel Stenberg创建的libcurl库允许你与各种的服务器使用各种类型的协议进行连接和通讯。

libcurl目前支持http、https、ftp、gopher、telnet、dict、file和ldap协议。libcurl同时也支持HTTPS认证、HTTP POST、HTTP PUT、 FTP 上传(这个也能通过PHP的FTP扩展完成)、HTTP基于表单的上传、代理、cookies和用户名+密码的认证。

发现这里出现了一个url地址:url=http://127.0.0.1/vul/ssrf/ssrf_info/info1.php

因为curl支持很多协议,我们就可以做以下尝试:

1、通过网址访问链接

比如说修改url为:url=http://www.baidu.com,访问百度页面:

2、利用file协议查看本地文件

修改url为:url=file:///etc/passwd,查看文件的内容

不能读取php文件,可能会显示php文件中的注释

3、dict协议扫描内网主机开放端口

使用dict协议可以获取内网主机开放端口相应服务的指纹信息,比如说内网主机开了mysql端口的话,
可以修改url为:url=dict://127.0.0.1:3306

dict 协议是一个在线网络字典协议,这个协议是用来架设一个字典服务的。不过貌似用的比较少,所以网上基本没啥资料(包括谷歌上)。可以看到用这个协议架设的服务可以用 telnet 来登陆,说明这个协议应该是基于 tcp 协议开发的。

所以像 mysql 的服务,因为也是基于 tcp 协议开发,所以用 dict 协议的方式打开也能强行读取一些 mysql 服务的返回内容

如果探测出redis

redis的未授权访问:redis的低版本时大部分人不设置访问密码,并且安全模式关闭就可以:

webshell:前提是知道物理路径

写入任务计划:反弹shell,反弹服务器权限

写入公钥:可以不用账号密码登陆服务器

4.gopher:威胁最大

使用ssrf和gopher直接将webshell写入服务器:

gopherus:

在/var/www/html下写入webs hell;

来看看它在干什么:清空,把写入的value写入到shell.php下,落盘在/var/www/html

反弹shell:

/var/spool/cron/这是任务计划的一个目录,会以root权限执行任务计划


http://www.ppmy.cn/news/1516923.html

相关文章

信息安全——密码学基础

密码学主要由密码编码密码分析俩个部分组成 密码编码学:研究信息的交换处以实现信息的安全保护 密码分析学:研究密文获取对应的明文信息 《中华人民共和国密码法》 2020年1月1日起实施。2005年4月1日起国家施行《中华人民共和国电子签名法》 密码…

基于微信小程序的电动车租赁系统---附源码97332

摘 要 本文旨在介绍基于Spring Boot框架的电动车租赁系统在微信小程序平台上的设计与实现。随着城市出行需求的不断增长和绿色出行意识的提升,电动车租赁系统作为一种便捷、环保的出行方式逐渐受到关注。通过本系统,用户可以通过微信小程序实现用户导航…

Kafka·Producer

Producer发送原理 拦截器进行拦截 对key和value进行序列化 org.apache.kafka.clients.producer.KafkaProducer#doSend 分区选择 计算消息要发送到topic的哪个分区上 若指定了分区,则使用指定的值没有指定的话则使用分区器计算得到或者使用hash取余的方式 暂存…

window 安装 anaconda教程(含安装包)

在Windows系统中安装Anaconda的步骤可以概括如下: 下载Anaconda: 访问Anaconda的官方网站或使用国内的镜像站点下载适合Windows的安装程序。例如,清华大学开源镜像网站提供了快速下载选项 。免费下载地址 启动安装程序: 双击下载…

Python-进阶-Excel基本操作

文章目录 Excel 基本操作1. 概述2. 写入2.1 使用 xlwt2.2 使用 XlsxWriter 3. 读取4. 修改 Excel 基本操作 1. 概述 在数据处理方面,Python 一直扮演着重要的角色,对于 Excel 操作,它有着完整且成熟的第三方库,使用也较为简单。…

STM32 HAL SDADC DMA

1、简介 由于项目需要使用STM32F373单片机的SDADC功能对电位计进行检测,网上资料比较少,踩了很多坑,下面进行总结。 2、STM32CubeMX配置 2.1 RCC配置 2.2 SYS 配置 2.3 SDADC 2 配置 2.3.1 Parameter Settings配置 SDADC共有三种输入模式,分别为差分模式、 单端偏移模…

网络协议的基础知识

了解OSI模型和TCP/IP模型 在上一篇关于互联网的工作原理的数据传输中,我们了解到,两台计算机之间传输数据时,需要将数据封装成数据包。这些数据包中不仅包含我们实际要传输的信息,还包括很多额外的内容,比如目标地址、…

川崎机器人维修请开启马达电源报警故障

‌川崎机器人故障代码主要用于指示机器人的不同运行问题和状态,帮助快速识别和解决这些问题。‌Kasawaki机械手故障代码通常以字母和数字的组合形式出现,其中字母代表故障的类型,而数字则是具体的代码编号。这些代码可以分为‌P‌代表操作错误…