021-信息打點(diǎn)-公眾號服務(wù)&Github監(jiān)控&供應(yīng)鏈&網(wǎng)盤泄漏&證書圖標(biāo)郵箱資產(chǎn)

#知識點(diǎn)：

1、開發(fā)泄漏-Github監(jiān)控
2、文件泄漏-網(wǎng)盤全局搜索
3、架構(gòu)泄漏-目錄掃碼&爬蟲
4、其他泄漏-公眾號服務(wù)資產(chǎn)
4、收集進(jìn)階-證書&圖標(biāo)&郵箱

演示案例：

?微信公眾號-獲取&三方服務(wù)
?Github監(jiān)控-開發(fā)&配置&源碼
?網(wǎng)盤資源搜索-全局文件機(jī)密
?敏感目錄文件-目錄掃描&爬蟲
?網(wǎng)絡(luò)空間進(jìn)階-證書&圖標(biāo)&郵箱
?實(shí)戰(zhàn)案例四則-技術(shù)分享打擊方位

#微信公眾號-獲取&三方服務(wù)

1、獲取微信公眾號途徑

https://weixin.sogou.com/

2、微信公眾號有無第三方服務(wù)（除去騰訊微信提供的官方api）

#Github監(jiān)控-開發(fā)&配置&源碼

目標(biāo)中開發(fā)人員或者托管公司上傳的項(xiàng)目存在源碼泄漏或配置信息（密碼密匙等），人員數(shù)據(jù)庫等敏感信息，找到多個(gè)脆弱點(diǎn)。

1、人員&域名&郵箱等篩

eg：xxx.cn password in:file
https://gitee.com/https://github.com/https://www.huzhan.com/

GITHUB資源搜索：
in:name test #倉庫標(biāo)題搜索含有關(guān)鍵字
in:descripton test #倉庫描述搜索含有關(guān)鍵字
in:readme test #Readme文件搜素含有關(guān)鍵字
stars:>3000 test #stars數(shù)量大于3000的搜索關(guān)鍵字
stars:1000…3000 test #stars數(shù)量大于1000小于3000的搜索關(guān)鍵字 forks:>1000 test #forks數(shù)量大于1000的搜索關(guān)鍵字
forks:1000…3000 test #forks數(shù)量大于1000小于3000的搜索關(guān)鍵字 size:>=5000 test #指定倉庫大于5000k(5M)的搜索關(guān)鍵字 pushed:>2019-02-12 test #發(fā)布時(shí)間大于2019-02-12的搜索關(guān)鍵字 created:>2019-02-12 test #創(chuàng)建時(shí)間大于2019-02-12的搜索關(guān)鍵字 user:test #用戶名搜素
license:apache-2.0 test #明確倉庫的 LICENSE 搜索關(guān)鍵字 language:java test #在java語言的代碼中搜索關(guān)鍵字
user:test in:name test #組合搜索,用戶名test的標(biāo)題含有test的

關(guān)鍵字配合谷歌搜索：
site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn
site:Github.com smtp password
site:Github.com String password smtp

2、語法固定長期后續(xù)監(jiān)控新泄露

基于關(guān)鍵字監(jiān)控
基于項(xiàng)目規(guī)則監(jiān)控

https://github.com/madneal/gshark

https://github.com/NHPT/FireEyeGoldCrystal

https://github.com/Explorer1092/Github-Monitor

#網(wǎng)盤資源搜索-全局文件機(jī)密

主要就是查看網(wǎng)盤中是否存有目標(biāo)的敏感文件
如：企業(yè)招標(biāo)，人員信息，業(yè)務(wù)產(chǎn)品，應(yīng)用源碼等

#敏感目錄文件-目錄掃描&爬蟲

后續(xù)會(huì)詳細(xì)講到各類工具項(xiàng)目

#網(wǎng)絡(luò)空間進(jìn)階-證書&圖標(biāo)&郵箱

證書資產(chǎn)

fofa quake hunter：語句==cert=""==

• 打開目標(biāo)官網(wǎng)；
• 點(diǎn)擊網(wǎng)址左邊的鎖狀→連接安全→證書狀，復(fù)制公用名
• 打開fofa利用證書語句查詢相關(guān)信息資產(chǎn)

ICO資產(chǎn)（網(wǎng)址圖標(biāo)）

fofa quake hunter

• 打開目標(biāo)官網(wǎng)；
• ctrl+U查看網(wǎng)址源碼
• ctrl+F 全局是搜索ico
• 發(fā)現(xiàn)ico網(wǎng)址點(diǎn)擊進(jìn)入并下載至本機(jī)
• 打開fofa使用ico查找，拖入下載好的ico’文件，等待查詢成功即可

郵箱資產(chǎn)

https://hunter.io/

#實(shí)戰(zhàn)案例四則-技術(shù)分享打擊方位

案例1–招標(biāo)平臺二級跳

某央企項(xiàng)目，在其招標(biāo)采購網(wǎng)進(jìn)行聯(lián)系人搜索，找到一個(gè)供應(yīng)商郵箱。

通過之前互聯(lián)網(wǎng)公開的泄露數(shù)據(jù)查詢該聯(lián)系人電話，查出密碼成功撞進(jìn)郵箱。在該郵箱中發(fā)現(xiàn)了目標(biāo)單位采購部人員聯(lián)系方式。

繼續(xù)使用之前互聯(lián)網(wǎng)公開的泄露數(shù)據(jù)查，運(yùn)氣好又成功了，這樣實(shí)現(xiàn)了從招標(biāo)平臺到企業(yè)郵箱的二級跳。

翻看附件，通過一系列搜索找到一處頁面。

下載然后反編譯找到地址最后獲取shell。

案例2–愛企查隱藏的驚喜

某HW項(xiàng)目，找到oa頁面。一開始拿exp打沒有效果（后來發(fā)現(xiàn)是exp弄錯(cuò)了，尷尬），短暫陷入僵局。

以前的我遇到這種exp打不進(jìn)去就會(huì)直接放棄，現(xiàn)在不同了，我會(huì)簡單嘗試猜一下弱口令，碰下運(yùn)氣。用戶去哪兒找呢？我將目光放到了愛企查。在頁面中查到公司主要人物，我打算每個(gè)人都試一下，密碼就是123456，111111，全拼+123456，全拼@123456之類的。

結(jié)果運(yùn)氣還真來了，試到第二個(gè)就進(jìn)去了。

進(jìn)了**oa，**權(quán)限還挺大，所以后續(xù)波瀾不驚正常操作，泛薇exp也成功利用，基本上打穿了。但是還差一臺比較重要的服務(wù)器。

當(dāng)時(shí)情況是這樣，通過抓取獲得兩個(gè)通用密碼：
administrator/456rty$%^20170106
administrator/123qwe!@#_fw

這兩個(gè)密碼基本上通殺內(nèi)網(wǎng)里面的服務(wù)器，路徑分刷的差不多了。但是還有一臺重要服務(wù)器不能用，這時(shí)候就只有硬猜了。
這兩個(gè)密碼規(guī)律都是跟鍵盤有關(guān)，后續(xù)跟的內(nèi)容跟時(shí)間和公司有一定聯(lián)系。所以排列組合一下最終猜出了正確答案：administrator/456rty$%^

案例3–郵箱爆破到內(nèi)網(wǎng)

國內(nèi)某知名上市軟件企業(yè)攻防項(xiàng)目。這個(gè)項(xiàng)目嚴(yán)格來說是看大佬操作，正是這個(gè)項(xiàng)目學(xué)到了郵箱爆破的思路。信息搜集一番后，雖然目標(biāo)資產(chǎn)很多，但是沒找到啥突破口，畢竟目標(biāo)也是it公司，對安全這塊也很重視。還好運(yùn)氣不錯(cuò)，在領(lǐng)導(dǎo)給的聯(lián)系人中通過之前互聯(lián)網(wǎng)公開的泄露數(shù)據(jù)找到一個(gè)密碼，登上了郵箱。不過該人員屬于業(yè)務(wù)部門，郵件中沒有什么對我們有價(jià)值的內(nèi)容。怎么辦呢？當(dāng)然第一步先把通訊錄導(dǎo)出來，導(dǎo)出來后，大佬一波突突，順利找到多個(gè)賬號，爆破原理就是通過對姓名聲母韻母的拆分，外加123，12345等常見后綴形成的弱口令，結(jié)果如下
登錄這些新賬號，慢慢搜索，最終另外一位大佬找到一處隱秘地址存在shiro漏洞，進(jìn)了內(nèi)網(wǎng)，后續(xù)一路靠著搜集來的密碼和key控制了云主機(jī)管理平臺。

案例4–不靠系統(tǒng)漏洞，從外網(wǎng)獲取域控

國內(nèi)某上市網(wǎng)絡(luò)服務(wù)提供商攻防項(xiàng)目，提供了ip地址，不準(zhǔn)釣魚。先是照著上面信息搜集的方式，在github上先有了收獲。

登錄了后發(fā)現(xiàn)這個(gè)郵箱是個(gè)海外的客服郵箱，當(dāng)客戶請求密碼重置的時(shí)候這個(gè)郵箱可以發(fā)送重置鏈接，所以理論上可以獲得任意客戶的賬號。

只是這個(gè)郵箱對應(yīng)的域名和其網(wǎng)站提供的服務(wù)屬于對外業(yè)務(wù)，跟我們初始目標(biāo)有一定差距，確定方向偏了后就沒再深入挖掘。
接下來是掃描客戶給的自用ip段。
找到一個(gè)站點(diǎn)，在郵件通知處發(fā)現(xiàn)泄漏的賬戶和密碼。用f12查看隱藏的密碼。

登陸郵箱成功，郵箱中發(fā)現(xiàn)vpn地址（辦公區(qū)域）。

郵箱垃圾箱中發(fā)現(xiàn)郵箱每天接收的routerOS的配置文件備份，其中有其他vpn的連接密碼(生產(chǎn)區(qū)域)。

登陸第一個(gè)辦公區(qū)域的vpn后才能登陸第二個(gè)生產(chǎn)區(qū)域vpn。此后攻擊鏈分成兩路，分別對生產(chǎn)區(qū)域和辦公區(qū)域進(jìn)行滲透。
后面操作就是上述提到的，對每個(gè)內(nèi)網(wǎng)主機(jī)的文件都不放過。
在生產(chǎn)區(qū)域內(nèi)，在某一臺運(yùn)維機(jī)上，發(fā)現(xiàn)運(yùn)維腳本，上面有域控賬號的密碼，但是上面的密碼過期了。

這是今年1月份的密碼，嘗試之后發(fā)現(xiàn)失敗。但是結(jié)合原本密碼猜測，如果要改就是把xxx@2013;1改成xxx@2013;2，以此類推，按半年改一次的話，現(xiàn)在7月，不是2就是3，嘗試連接成功,密碼是**xxx@2013;3。至此生產(chǎn)環(huán)境域控權(quán)限拿下**。

轉(zhuǎn)戰(zhàn)辦公環(huán)境，雖然通過單點(diǎn)登陸進(jìn)入了很多內(nèi)部系統(tǒng)，但是系統(tǒng)中沒有漏洞，辦公內(nèi)網(wǎng)個(gè)人機(jī)防護(hù)也到位，始終無法獲取shell。
這里因?yàn)槿狈?jīng)驗(yàn)卡了很久，幸好在神秘高人的幫助下，然后內(nèi)網(wǎng)所有信息都全部集齊生成了密碼本，成功爆破zabbix服務(wù)進(jìn)入后臺。
有了zabbix的后臺，直接提升一個(gè)普通賬戶為域管，后續(xù)波瀾不驚的拿下生產(chǎn)環(huán)境。

信息搜集始終是最重要的。這篇文章談了談信息搜集和密碼利用的思路，但是這類思路不是萬能的，很多時(shí)候需要運(yùn)氣，成功率也不高，只是給大家在沒有突破的時(shí)候提供一點(diǎn)啟發(fā)，更多還是要靠自己打牢自己的基礎(chǔ)去找漏洞。文章來源地址http://www.zghlxwxcb.cn/news/detail-832908.html

到了這里，關(guān)于021-信息打點(diǎn)-公眾號服務(wù)&Github監(jiān)控&供應(yīng)鏈&網(wǎng)盤泄漏&證書圖標(biāo)郵箱資產(chǎn)的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！