从信息收集到内网漫游

بسماللهالرحمنالرحيم

本文主要讲述我是如何通过结合各种漏洞的利用,最终进入到世界上最大的ICT公司的内网.
pdf版本,戳我下载^_^

如果你嫌内容过多,I部分是简明扼要版本.

I. TL;DR

进入内网的过程,主要分为三个阶段.

• Github寻找各种凭据和内网地址信息.以及目标的开源框架
• 通过Google Hacking 搜索敏感信息:site:*.target.com AND intext:their_password
• 第三就是我在查看我的子域名扫描结果时,发现使用的是老版本Atlassian Crowd,通过使用CVE-2019–11580拿到了权限,然后发现这台机器可以访问到内网很多资产.

我通过github获得的网段信息,查询到了内网的资产.

获得了一个稳定的shell

内网资产的响应信息

Detail

19年12月份,我计划找一些近几个月比较活跃的目标,希望能够获得RCE,然后访问内网资产,然后我开始从一些基础信息入手.

Github信息收集

因为我已经收集了几千个子域名,并且不好入手,所以我想回到基本状态,所以我去Github上寻找一些信息,参考https://www.youtube.com/watch?v=l0YsEk_59fQ

我做的是:

1. 收集凭据,不管是否有效,这是为了寻找默认密码

2. 
   发现了大约50多个密码

3. 收集ip地址,然后猜测规律

4. ip地址可以确定出资产是否属于他们
5. 我利用这个方法找到5个p1
6. 

除此之外,ip的收集对进入内网以后有很大帮助

• 最后就是他们开发信息.第一部分大概花了我16小时,几天过后,大概只花几小时,最后我发现目标很少使用他们的框架开发内部应用程序.
• 另一方面就是可以进行代码审计

开发人员在使用Github协同开发的时候,可能会不注意就将敏感信息上传到repo中.
所以可以尝试搜索敏感信息.

• password “.target.tld” 关键字可以是telnet，f​​tp，ssh，mysql，jdbc，oracle
• target.tld “ password_value_here” 我不讨清楚Github的搜索细节,但是我通过这两个不同的关键字,获得了不少有用的东西XD
• 在一个repo里面找到信息之后,就继续在这个repo里面找到更多信息.

继续找类似password，pwd，pass的关键字

查询repo里面的api信息
啥也没有?
继续找这个用户的其他repo
还是啥也没有?
再找和这个repo有关人员的repo

看思维导图

问题来了

这些操作会耗费我们大量的时间,并且无法保证有效果,但是,这是信息收集的重点,我们都在做不确定的事情.