0x00 前言
有技術交流或滲透測試培訓需求的朋友歡迎聯系QQ/VX-547006660,
需要代碼審計、滲透測試、紅藍對抗網絡安全相關業務可以看置頂博文
2000人網絡安全交流群,歡迎大佬們來交流 群號820783253
最近BugBounty挖了不少,但大多數都是有手就行的漏洞,需要動腦子的實屬罕見
而今天就遇到了一個非常好的案例,故作此文
0x01 對目錄批量FUZZ,發現一處隱蔽接口
挖某大廠已經挖了快兩個周了,期間因為公司業務比較繁忙,最近一直沒挖。
但是一直在用ffuf掛着字典對廠商資產進行批量目錄掃描,今天上服務器看了下掃描結果,就出貨了
接口地址為:https://xxx.xxxx.com/xxxx/start
我們直接對其進行訪問
發現該接口給我們提供了一些可以使用的接口鏈接
我們逐個測試拼接接口后,發現一個名為face_xxxx的接口有戲
0x02 FUZZ傳參格式+參數
訪問接口,提示Method Not Allow,405錯誤,那么很顯然,我們得換POST傳參
POST隨便傳個參過去,發現接口提示"Request error, content-type was unsupported"
很好,繼續FUZZ content-type header(記得把payload_processing自動編碼給關掉)
FUZZ出來application/json的content-type頭可用,那么很簡單了,構造JSON數據,繼續FUZZ JSON數據參數
0x03 SSRF無腦到手
參數為image_url,稍有經驗的朋友就可以借此判斷出,很可能這個參數是加載遠程圖片的
直接進行SSRF測試
服務器收到了請求,經測試gopher,dict,http等常規協議都可以使用~
之前收集了不少該廠商內網redis的ip和密碼,也了解到該廠商的內網網段
嘗試利用本處SSRF完全可以批量對內網Redis進行密碼噴灑+反彈shell對邊界進行突破
0x04 利用gopher協議對內網脆弱網段批量Redis密碼噴灑反彈Shell
普及一個知識:與未授權直接訪問的redis不同,加入密碼認證的redis在命令行鏈接時會多一個-a參數指定密碼
如圖所示如果不傳參密碼,則無法執行任何redis指令
而加入密碼認證后redis,在整個RESQ協議流量中表現如下
認證過程中會多一個Auth
寫腳本來構造gopher數據,注意把這塊Auth加上,后續常規操作寫計划任務反彈SHELL
利用上面挖掘到的SSRF點,配合之前自己收集到的內網redis密碼和脆弱網段
直接通過intruder批量跑內網的脆弱網段redis,進行密碼噴灑,噴灑一但成功,則會寫入計划任務
最終功夫不負有心人,在一個網段,彈回來了十幾個Shell。。。
廠商的內網Redis主機還能出網,屬實是內網安全做的稀爛了。
0x04 后言
這個洞是在平安夜挖到的~算是聖誕賀禮啦