从信息收集到内网漫游
بسماللهالرحمنالرحيم
本文主要讲述我是如何通过结合各种漏洞的利用,最终进入到世界上最大的ICT公司的内网.
pdf版本,戳我下载^_^
如果你嫌内容过多,I部分是简明扼要版本.
I. TL;DR
进入内网的过程,主要分为三个阶段.
- Github寻找各种凭据和内网地址信息.以及目标的开源框架
- 通过Google Hacking 搜索敏感信息:
site:*.target.com AND intext:their_password
- 第三就是我在查看我的子域名扫描结果时,发现使用的是老版本
Atlassian Crowd
,通过使用CVE-2019–11580
拿到了权限,然后发现这台机器可以访问到内网很多资产.
我通过github获得的网段信息,查询到了内网的资产.
获得了一个稳定的shell
内网资产的响应信息
Detail
19年12月份,我计划找一些近几个月比较活跃的目标,希望能够获得RCE,然后访问内网资产,然后我开始从一些基础信息入手.
Github信息收集
因为我已经收集了几千个子域名,并且不好入手,所以我想回到基本状态,所以我去Github上寻找一些信息,参考https://www.youtube.com/watch?v=l0YsEk_59fQ
我做的是:
- 收集凭据,不管是否有效,这是为了寻找默认密码
发现了大约50多个密码收集ip地址,然后猜测规律
- ip地址可以确定出资产是否属于他们
- 我利用这个方法找到5个p1
除此之外,ip的收集对进入内网以后有很大帮助
- 最后就是他们开发信息.第一部分大概花了我16小时,几天过后,大概只花几小时,最后我发现目标很少使用他们的框架开发内部应用程序.
- 另一方面就是可以进行代码审计
开发人员在使用Github协同开发的时候,可能会不注意就将敏感信息上传到repo中.
所以可以尝试搜索敏感信息.
password “.target.tld”
关键字可以是telnet,ftp,ssh,mysql,jdbc,oracle
target.tld “ password_value_here”
我不讨清楚Github的搜索细节,但是我通过这两个不同的关键字,获得了不少有用的东西XD- 在一个repo里面找到信息之后,就继续在这个repo里面找到更多信息.
继续找类似password,pwd,pass
的关键字
查询repo里面的api信息
啥也没有?
继续找这个用户的其他repo
还是啥也没有?
再找和这个repo有关人员的repo
看思维导图
问题来了
这些操作会耗费我们大量的时间,并且无法保证有效果,但是,这是信息收集的重点,我们都在做不确定的事情.
点击收藏 | 3
关注 | 2