0x00 项目背景
该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。
该系列首发github:https://github.com/J0o1ey/BountyHunterInChina
本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。
0x01 前言
有技术交流或渗透测试培训需求的朋友欢迎联系QQ/VX-547006660,需要代码审计、渗透测试、红蓝对抗⽹络安全相关业务可以联系我司
2000⼈⽹络安全交流群,欢迎⼤佬们来交流 群号820783253
最近BugBounty挖了不少,但⼤多数都是有⼿就⾏的漏洞,需要动脑⼦的实属罕⻅
⽽今天就遇到了⼀个⾮常好的案例,故作此⽂
0x02 对⽬录批量FUZZ,发现⼀处隐蔽接⼝
挖某⼤⼚已经挖了快两个周了,期间因为公司业务⽐较繁忙,最近⼀直没挖。
但是⼀直在⽤ffuf挂着字典对⼚商资产进⾏批量⽬录扫描,今天上服务器看了下扫描结果,就出货了
接⼝地址为:https://xxx.xxxx.com/xxxx/start 我们直接对其进⾏访问
发现该接⼝给我们提供了⼀些可以使⽤的接⼝链接
我们逐个测试拼接接⼝后,发现⼀个名为face_xxxx的接⼝有戏
0x03 FUZZ传参格式+参数
访问接⼝,提示Method Not Allow,405错误,那么很显然,我们得换POST传参
POST随便传个参过去,发现接⼝提示"Request error, content-type was unsupported"
很好,继续FUZZ content-type header(记得把payload_processing⾃动编码给关掉)
FUZZ出来application/json的content-type头可⽤,那么很简单了,构造JSON数据,继续FUZZ JSON数据参数
0x04 SSRF⽆脑到⼿
参数为image_url,稍有经验的朋友就可以借此判断出,很可能这个参数是加载远程图⽚的直接进⾏SSRF测试
服务器收到了请求,经测试gopher,dict,http等常规协议都可以使⽤~ 之前通过各种域名⼆级⽬录或根⽬录的spring泄露,下载heapdump,OQL调试出redis明⽂密码
0x05 利⽤gopher协议对内⽹脆弱⽹段批量Redis密码喷洒反弹 shell
普及⼀个知识:与未授权直接访问的redis不同,加⼊密码认证的redis在命令⾏链接时会多⼀个-a参数指定密码如图所示如果不传参密码,则⽆法执⾏任何redis指令 
⽽加⼊密码认证后redis,在整个RESQ协议流量中表现如下
认证过程中会多⼀个Auth
写脚本来构造gopher数据,注意把这块Auth加上,后续常规操作写计划任务反弹SHELL
利⽤上⾯挖掘到的SSRF点,配合之前⾃⼰收集到的内⽹redis密码和脆弱⽹段
直接通过intruder批量跑内⽹的脆弱⽹段redis,进⾏密码喷洒,喷洒⼀但成功,则会写⼊计划任务
最终功夫不负有⼼⼈,在⼀个⽹段,弹回来了⼗⼏个Shell。。。
⼚商的内⽹Redis主机还能出⽹,属实是内⽹安全做的稀烂了。
0x06 后⾔
这个洞是在平安夜挖到的~算是圣诞贺礼啦
本文作者: J0o1ey
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
