疯狂Fuzzzzzz直到GetShell

Fuzz大法，大家可以理解为爆破字典，所以这里给大家推荐一个字典：

https://github.com/TheKingOfDuck/fuzzDicts

0X01 爆破就完事儿

一直对厂商资产进⾏批量⽬录扫描，今天上服务器看了下扫描结果，出货了

返回信息中提供了一些可以使用的接口，继续Fuzzzzzz，发现一个名为face_xxxx的接⼝有戏，直接访问

405错误，很显然，得改变传参方式，使用post传参，随便传了个过去，提示content-type was unsupported

那就Fuzzzz content-type，FUZZ出来application/json的content-type头可⽤。

现在很简单了，构造JSON数据，继续FUZZ JSON数据参数

0X02 SSRF到手

看参数名字，就大概可以推测，这个参数是加载远程图⽚的。

经测试gopher，dict，http等常规协议都可以使⽤，之前收集到的spring泄露，下载heapdump，OQL调试出redis明⽂密码

0x03 利⽤gopher反弹Shell

普及⼀个知识：与未授权直接访问的redis不同，加⼊密码认证的redis在命令⾏链接时会多⼀个-a参数指定密码

协议流量中表现如下

写脚本构造gopher数据，把Auth加上,后续常规操作写计划任务反弹SHELL

接通过intruder批量跑内⽹的脆弱⽹段redis，⼀但成功，则会写⼊计划任务。