Hack Redis via Python urllib HTTP Header Injection


Sep 03 2016

Hack Redis via Python urllib HTTP Header Injection

首页 » 漏洞收集 » Hack Redis via Python urllib HTTP Header Injection   

0x00 Introduction


在今年6月BLINDSPOT披露了Python urllib http头注入漏洞:http://blog.blindspotsecurity.com/2016/06/advisory-http-header-injection-in.html
通过这个漏洞,如果使用了Python的urllib库,并且请求的url为用户可控,那么就可能存在内网被探测的风险,如果本机或内网服务器中装有未授权访问的redis,那么服务器则有被getshell的风险。

本文主要讲述通过Python urllib http头注入来实现对内网未授权redis服务进行getshell的实践。


0x01 Redis Vulnerability


首先介绍一下之前外界已经公布通过未授权访问的redis获取服务器shell的两种方式:
1、 写入ssh公钥(需要清空缓存数据) 

1.jpg

 

2、通过写计划任务来反弹shell(不需要清空缓存数据) 2.jpg


0x02 Attack Redis


通过在服务器上直接执行redis命令和通过跨协议来操作redis有些许不同,下面开始进行测试,python测试脚本代码如下,保存为urllibi.py文件:

3.jpg

 

 

测试一下通过http头注入来向redis写入普通的文本: 

 

17.jpg

 

 

从运行结果可以看出相当于执行了set a aaa的redis命令:


4.jpg

通常在实际测试时,要求不能清空服务器的缓存数据,所以此处使用写计划任务来反弹shell,在利用过程中会遇到没法写入空格的问题,而写入crontab的字符串又必须要有空格
尝试set a 11%2011:

5.jpg

 

尝试set a "11%2011",set a '11%2011':

6.jpg

 

无论是编码空格为%20还是两端加单双引号,发现都不会成功。


解决办法:通过Redis的通讯协议来突破空格的限制:
首先Redis是以行来划分,每行以\r\n行结束。每一行都有一个消息头:

8.jpg

下面来试一下如何执行set a “like you”:

9.jpg

转换为实际的每个字节的形式字符串为:

10.jpg

 

从执行结果可以看出,空格成功插入:

11.jpg

 

接下来尝试将计划任务的命令字符串写入redis:

12.jpg

 

这里的\n需要使用%0a才行,不然直接写\n反斜杠会被过滤掉:

13.jpg

 

 

0x03 POC


将四个步骤合为一个url搞定: 

14.jpg

 

执行效果如下:

15.jpg

 

在192.168.53.1上监听12345端口,shell就这样弹了过来:16.jpg

 

 


0x04 References

http://blog.blindspotsecurity.com/2016/06/advisory-http-header-injection-in.html
http://drops.wooyun.org/papers/16905
http://blog.csdn.net/qqyanchong/article/details/8686685
http://www.freebuf.com/vuls/85188.html
http://zone.wooyun.org/content/23858 


 

如果您喜欢本博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容:

正文部分到此结束

文章标签: python urllib HTTP

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «Squid远程拒绝服务漏洞分析 | phpMyAdmin SQL注入漏洞(CVE-2016-5703)分析»

你肿么看?

你还可以输入 250/250 个字

 微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

这篇文章还没有收到评论,赶紧来抢沙发吧~