利用SSRF漏洞在Redis主从复制中写入Webshell

本文主要讲述了作者R3startand曲云杰在进行内网学习时遇到的问题，涉及到通过SSRF（Server-Side Request Forgery）漏洞操作Redis主从复制，以实现Webshell的植入。SSRF漏洞未做任何过滤，使得攻击者可以利用服务器发起请求到指定的外部URL，包括Redis服务。 首先，作者发现目标服务器上的Redis版本为5.0.8，且运行在127.0.0.1上，无密码访问。在尝试利用SSRF漏洞时，他们选择了常见的DICT协议进行测试，因为服务器支持该协议，并且使用的curl版本为7.64.1。DICT协议是一种非状态型SSRF，意味着无论目标端口是否开放、协议支持与否，请求的结果始终不变，因此无法借此扫描端口或获取本地文件信息，但可以用来执行简单的操作。 为了实现写入Webshell，作者采取了以下步骤： 1. **使用DICT协议添加测试记录**：通过设置特定的键值对，如`/api/test/http_get?url=dict://127.0.0.1:6379/set:xxxxxxxxxxxxxxxxxx:11111`，向Redis服务器发送一个命令，这条命令会被解析并执行。 2. **设置保存路径**：尽管文中没有明确提及如何设置保存路径，但可以推测是在构造命令时包含了目标文件存储的目录路径。 3. **设置保存文件名**：同样，文件名也是在命令中设定的，可能是固定的或者动态生成的，以达到写入特定文件的目的。 4. **保存**：通过发送DICT命令，实际上在Redis服务器上执行了写操作，将指定的数据（如Webshell代码）保存到了指定的文件中。 由于权限限制，攻击者无法写定时任务或私钥，所以他们只能使用Redis的简单功能，如DICT协议，来实现Webshell的简单写入。这个过程体现了在实际渗透测试中，对攻击手段的选择和环境限制的理解至关重要。 总结起来，文章提供了一个在受限环境下利用SSRF漏洞在Redis中写入Webshell的案例，展示了攻击者如何利用已有服务协议进行间接控制，同时也强调了权限管理和安全策略的重要性。