起因：某市hw、給了某醫(yī)院的資產(chǎn)，根據(jù)前期進(jìn)行的信息收集就開始打，奈何目標(biāo)單位資產(chǎn)太少，唯有一個(gè)IP資產(chǎn)稍微多一點(diǎn)點(diǎn)，登錄框就兩個(gè)，屢次嘗試弱口令、未授權(quán)等均失敗。

事件型-通用性-反編譯jar-Naocs-后臺(tái)-供應(yīng)商到目標(biāo)站-批量檢測(cè)-內(nèi)網(wǎng)

1.事件型-通用型

嘗試互聯(lián)網(wǎng)獲取更多目標(biāo)資產(chǎn)的信息。fofa搜索IP發(fā)現(xiàn)這樣一個(gè)系統(tǒng)，是通用型的系統(tǒng)（根據(jù)指紋和ico自動(dòng)識(shí)別的）、大概100+單位，包括縣級(jí)、市級(jí)等均用此系統(tǒng)。

由于之前有過類似的從供應(yīng)商一路打到目標(biāo)站的經(jīng)歷，這次猜測(cè)應(yīng)該也可以

查看網(wǎng)站底部的備案號(hào)，發(fā)現(xiàn)并不是目標(biāo)單位的，而是供應(yīng)商的，于是開始針對(duì)供應(yīng)商進(jìn)行信息收集

定位到了某家公司，天眼查顯示八個(gè)備案域名：

直接上enscan收集備案信息，隨后根據(jù)收集到的所有備案域名，查找真實(shí)IP以及端口等

根據(jù)獲取到的域名，用fofa直接反查IP、子域等等，經(jīng)過篩選之后，共有八個(gè)真實(shí)IP

隨后就是找端口、找指紋什么的，我喜歡用fofa,現(xiàn)在fofa支持批量搜索100個(gè)IP資產(chǎn)的功能，根據(jù)系統(tǒng)的ICO識(shí)別指紋很快

【----幫助網(wǎng)安學(xué)習(xí)，以下所有學(xué)習(xí)資料免費(fèi)領(lǐng)！加vx：yj009991，備注 “博客園” 獲??！】

　① 網(wǎng)安學(xué)習(xí)成長(zhǎng)路徑思維導(dǎo)圖
?、?60+網(wǎng)安經(jīng)典常用工具包
?、?100+SRC漏洞分析報(bào)告
?、?150+網(wǎng)安攻防實(shí)戰(zhàn)技術(shù)電子書
?、?最權(quán)威CISSP 認(rèn)證考試指南+題庫(kù)
　⑥ 超1800頁(yè)CTF實(shí)戰(zhàn)技巧手冊(cè)
?、?最新網(wǎng)安大廠面試題合集（含答案）
?、?APP客戶端安全檢測(cè)指南（安卓+IOS）

2.反編譯jar

很快根據(jù)fofa的ico摸到了nexus系統(tǒng)：一個(gè)maven倉(cāng)庫(kù)管理器

弱口令：admin/admin、admin/admin123等均失敗

弱口令嘗試無果后，根據(jù)之前的反編譯jar的思路，直接點(diǎn)擊browse查看maven公開倉(cāng)庫(kù)

找項(xiàng)目倉(cāng)庫(kù)，發(fā)現(xiàn)了不少的jar包

直接下載jar包反編譯查看敏感信息，包括spring鑒權(quán)口令以及redis口令均可查看

大概幾十個(gè)jar包，挨個(gè)嘗試敏感信息獲取，將獲取到的敏感信息存一個(gè)密碼本中，留著撞庫(kù)爆破用很快收集到了mysql用戶名口令、oracle用戶名口令、Redis信息、nacos口令信息、部分服務(wù)的ak/sk接口（比如人臉識(shí)別api、語言api等等)，但大多都處于內(nèi)網(wǎng)，一時(shí)無法利用。

3.Nacos

繼續(xù)查看端口結(jié)果,發(fā)現(xiàn)其中一個(gè)IP，開放的端口很大，直到50000以上。其中一個(gè)端口48848瞬間引起了我的注意，因?yàn)閚acos默認(rèn)端口8848嘛，隨后點(diǎn)開提示404（要的就是404），反手在路徑處輸入nacos，直接跳轉(zhuǎn)到nacos登陸界面

嘗試默認(rèn)口令：nacos/nacos、test/123456、nacos/123456均失敗，未授權(quán)添加用戶以及獲取用戶名口令均失敗、嘗試jwt繞過登錄等等也都失敗……

用剛剛反編譯jar獲取到的口令進(jìn)行嘗試，在嘗試了幾個(gè)之后，成功跳轉(zhuǎn)到后臺(tái)

隨即：

有配置就有東西，直接翻找配置文件，找敏感信息、同樣發(fā)現(xiàn)了redis、MySQL等連接信息、還有短信云服務(wù)的ak/sk、這些AK/SK大多都是可接入存儲(chǔ)桶什么的、但是沒東西，也沒有云主機(jī)……

4.通用型口令進(jìn)后臺(tái)

從nacos系統(tǒng)獲取到的敏感信息繼續(xù)添加到密碼本中，繼續(xù)找別的端口，發(fā)現(xiàn)了某端口下開放著和目標(biāo)站點(diǎn)一模一樣的系統(tǒng)界面，利用收集到的口令（密碼本）嘗試進(jìn)行登陸供應(yīng)商的系統(tǒng)：

嘗試了幾個(gè)之后。。成功以收集到的強(qiáng)口令登陸該系統(tǒng)

在某檔案管理處發(fā)現(xiàn)4w+個(gè)人信息（身份證、手機(jī)、姓名、地址、病歷等等）

在系統(tǒng)用戶中找到3K+個(gè)人信息

翻找系統(tǒng)用戶列表還發(fā)現(xiàn)系統(tǒng)用戶還存在一個(gè)manager用戶、但是默認(rèn)管理員admin賬戶未找到，懷疑是系統(tǒng)開發(fā)商留下的默認(rèn)用戶admin，密碼稍微有點(diǎn)復(fù)雜，大小寫字母+數(shù)字+特殊符號(hào)組合。嘗試?yán)迷摽诹畹顷懺揑P資產(chǎn)下的其它相同系統(tǒng)，均登錄成功分別為1w+、14w+、5w+、24w+等眾多敏感信息，均為不同的醫(yī)院

根據(jù)每個(gè)系統(tǒng)的特點(diǎn)以及信息數(shù)量可以得到，系統(tǒng)存在開發(fā)商管理員用戶名：admin和manager，且口令為開發(fā)商初始默認(rèn)口令

5.從供應(yīng)商到目標(biāo)站

根據(jù)前期收集到的信息，直接以初始口令登錄此次hw目標(biāo)站點(diǎn)成功打入后臺(tái)，先是1K+信息

在系統(tǒng)管理-用戶管理中同樣發(fā)現(xiàn)存在manager用戶直接以默認(rèn)口令嘗試登陸

獲取5K+敏感信息，查看接口可獲取到未脫敏信息

6.afrog批量POC

前期fofa找出來的結(jié)果，大概100+系統(tǒng)用afrog編寫批量爆破poc嘗試登陸，result=1就是登錄成功；afrog、就是快、準(zhǔn)、狠

粗略估計(jì)一下，大概100w左右的數(shù)據(jù)，永遠(yuǎn)永遠(yuǎn)的好起來了……

7.redis-供應(yīng)商內(nèi)網(wǎng)

根據(jù)前期獲取到的redis口令，登陸redis成功，并且為root權(quán)限，嘗試寫入公鑰getshell老樣子，先用xshell生成公鑰，將此公鑰復(fù)制到liqun工具箱中，直接進(jìn)行寫入即可

在連接的時(shí)候踩坑了，因?yàn)槟繕?biāo)主機(jī)開放的ssh端口過多，其中一個(gè)端口44622寫入失敗，換一個(gè)端口44722寫入成功了。

接下來就是內(nèi)網(wǎng)常規(guī)操作了……文章來源地址http://www.zghlxwxcb.cn/news/detail-711631.html

到了這里，關(guān)于記一次地市hw:從供應(yīng)商到目標(biāo)站再到百萬信息泄露的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！