原文:浅析Redis中SSRF的利用

SSRF介绍 SSRF,服务器端请求伪造,服务器请求伪造,是由攻击者构造的漏洞,用于形成服务器发起的请求。通常,SSRF攻击的目标是外部网络无法访问的内部系统。这里我们要介绍的是关于redis中SSRF的利用,如果有什么错误的地方还请师傅们不吝赐教 握拳。 前置知识 文章中的数据包构造会涉及到redis的RESP协议,所以我们这里先科普一下,了解RESP协议的师傅可以跳过 。 RESP协议 Red ...

2019-07-21 16:57 0 690 推荐指数:

查看详情

RedisSSRF的应用

前言 面试问到了,只知道有哪些,但是没有自己实践过。这里学习记录下。 前置知识 SSRF介绍 SSRF,服务器端请求伪造,服务器请求伪造,是由攻击者构造的漏洞,用于形成服务器发起的请求。通常,SSRF攻击的目标是外部网络无法访问的内部系统 CONFIG SET Redis Config ...

Tue May 26 09:17:00 CST 2020 0 549
ssrf漏洞利用-攻击redis

  ssrf深入利用,打redis,不仅仅是打redis,还可以做很多事情,用redis抛砖引玉     打redis重要的两个协议:   (1)gopher协议   (2)dict协议   用http(s)判断出网:   如果出网,直接gopher://vps:port/,nc监听即可 ...

Mon Feb 14 21:47:00 CST 2022 0 1515
ssrf漏洞利用(内网探测、打redis)

摘要:存在ssrf漏洞的站点主要利用四个协议,分别是http、file、gopher、dict协议。 file协议拿来进行本地文件的读取,http协议拿来进行内网的ip扫描、端口探测,如果探测到6379端口,那么可以利用http、gopher、dict这几个协议来打开放6379端口的redis ...

Mon Oct 28 18:57:00 CST 2019 0 2595
SSRF利用dict和gopher吊打Redis

SSRF利用dict和gopher吊打Redis 写在前面 SSRFRedis也是老生常谈的东西了,这里复现学习一下之前在xz看到某师傅写的关于SSRF利用dict和gopher打内网服务的文章,主要是对webshell和sshkey的写入进行复现,做一点小笔记。 准备环境 ...

Thu Dec 31 07:55:00 CST 2020 0 855
ssrf漏洞利用

0x00 前言 发现最近已经很久没更新文章了,这里就先来更新一篇ssrf,这个漏洞也是最近才研究的,以前没有去挖过此类漏洞,对此漏洞的认知也比较少 0x01 漏洞原理 这个漏洞产生是因为服务器向外部去请求一些资源,例如图片或者是url的时候就会造成这个漏洞。现在很多网站开发的时候也会请求到外 ...

Sat May 09 10:17:00 CST 2020 0 941
利用bWAPP学习SSRF

SSRF的3个小实验 bWAPPSSRF给出了3个小实验来说明SSRF利用场景: 任务1:使用远程文件包含进行端口扫描(内网探测) 任务2:使用XXE获取敏感文件的内容(文件读取) 任务3:使用XXE进行SmartTV的拒绝服务漏洞的利用(漏洞利用) 任务1:使用 ...

Thu Dec 19 04:28:00 CST 2019 0 700
SSRF介绍及利用(ctfshow)

一、介绍 定义:SSRF(Server-Side Request Forgery:服务器端请求伪造)通过篡改 HTTP 请求的资源地址发送给服务器,服务器没有校验请求的合法性,服务器解析用户传递过来的请求,处理之后返回给用户。简单理解就是将WEB服务器作为了一个跳板(代理)去请求更深 ...

Thu Mar 31 18:47:00 CST 2022 0 666
SSRF利用方法

SSRF PHP function URL schema support SFTP Dict gopher ...

Mon Nov 19 20:29:00 CST 2018 0 1362
 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM