正文
gopher 协议,我们可以利用 gopher 协议对任意的端口进行应用层的数据发送。我列举了简单的例子,下面标注的是利用 gopher 协议实现请求的图。
以 gopher 协议开头,后面跟着是一个请求服务的地址,后面是一个端口。目录以下滑线作为关键字的开头,后面跟的就是具体应用层需要发送的数据。可以在 SSRF 利用中,通过 gopher 协议向任意的端口进行应用层数据的发送,这是比较关键的。
2.3 Redis未授权访问漏洞
Redis是比较流行的存储服务。大家知道的Redis漏洞中,未授权访问大家非常了解。
未授权访问这种漏洞,在我看来式因为运维人员或开发人员错误的配置造成的。一些官方的应用必须得给权限,但运维人员和开发人员在配置使用的过程中,没有按照官方的安全建议执行。
2.4 Redis未授权访问漏洞利用方式
我们可以通过攻击者未授权访问进行哪一些攻击?篡改 Redis 服务中的数据,清空数据进行破坏。
可以通过数据库备份的功能进行文件写的操作。怎样的条件下可以达到写文件的攻击?运行 Redis 服务的用户需要有一定的权限,可以往你所备份的数据库路径下写一个文件。
在 Redis 配置的时候,起用数据库备份的指令。在这儿已经列了一个 Save 和 Config。通过写文件操作,往服务器上写一个计划任务,这是后面所要执行计划任务的规则。
设置你所保存的文件名,刚刚说到了你所起的 Redis 服务,在这个路径下必须得有相应的文件操作权限,才可以成功地往里进行写入。下面是成功写入的截图。
简单说了 Redis 未授权访问利用的方式。据不完全统计,最近也经过一次扫描,发现在公网仍然存在着大约有1.5万台的服务器存在问题。
暴露在公网上的Redis有那么多,一些企业测试环境或者企业内部使用的Redis服务也是非常多。
2.5 组合利用两种漏洞攻击内网服务
我们如何攻击这些处在内网的 Redis 服务?
可以利用 SSRF 往内网发送任意的应用层数据,我们将 SSRF 漏洞和 Redis 未授权漏洞串联起来,我们就可以通过 SSRF 向内网的 Redis 服务进行攻击尝试。
有两个条件需要满足,第一存在 SSRF 漏洞的服务器必须得支持 gopher 协议,才可以成功地往内网的服务器端口进行数据发送。第二内网中确实有存在 Redis 的未授权服务。
我们将刚才 Redis 写计划任务的一系列指令,通过 gopher 协议进行封装。然后通过 SSRF 漏洞的接口,攻击者将这个参数替换成 gopher 的协议,O1解析 gopher 协议,向它处在的内网环境中的 Redis 服务进行攻击。
如果 L2 上的 Redis 服务确实存在未授权访问,且具有相应的权限,这时候攻击者就会成功地达到攻击的目标。
SSRF 堪称内网攻击的神器,在安全圈里。这是 SSRF 隔山打牛攻击内网的服务。
3、场景二:危险序列化结合脆弱中间件攻击分布式节点
3.1 危险的数据序列化
利用序列化的方式攻击分布式集群。数据序列化可以在不同的两个应用程序间进行对象的传递或者方法的调用。
在这儿有一个应用A,应用A中有一个对象A1,通过序列化方式以后,将序列化的数据传递给程序B,程序B通过反序列化的操作得到B1。
在一定的本质下,A1和B1的两个对象是等价的,包括了它们两个对象的属性值和一些相应的方法。不同之处,只是它们处在不同的应用环境或者不同的底层的地址上。
在历史上出现了很多反序列化造成的问题。PHP 有一些问题被攻击者利用,在底层代码实现的时候由于不安全的反序列化操作,造成了远程命令执行问题。
在 Django 框架下有 Session 控制的问题。Java 反序列化漏洞,当时涉及到的组件很多,上到 Java 外部框架下到 Java 的扩展库都存在着远程命令执行的问题。
在漏洞组合的例子中。这是 Java 反序列化执行命令的实例,上面是简单的代码。通过简单的操作,对用户输入的值进行反序列化的操作。下面通过传递一串特殊构造后的代码,在下面成功地触发命令执行漏洞。这个例子讲的是攻击和分布式框架。
3.2 窥探Celery中的消息队列
Celery 是 Python 中非常流行的分布式任务框架。Celery 消息队列间,通过队列的形式实现分布式任务的下滑。既然有消息的传递和分发,就会涉及到消息的封装。
