记一次从供应商到目标之旅

admin
admin
admin
102157
文章
87
评论
2022年5月16日15:15:36评论48 views字数 2142阅读7分8秒阅读模式

因涉及敏感信息较多,厚码见谅。

最近一段时间有个项目,当时对某个单位目标进行了信息收集,该系统是一个邮件系统。

目标:XXX.gov.cn 某个政务级目标

系统:自建的邮件服务系统

系统有滑块验证,因此从web爆破邮箱的作用不大,同时,服务端也没有真实IP可以走协议爆破。

记一次从供应商到目标之旅

然后对该系统进行了信息收集,同时利用天眼查查询到目标所属资产的供应商为XXXX公司。该公司承包了该市级单位绝大部分的第三方系统开发,属于是很有价值的供应商,随即改变想法准备去从供应商下手。

0x00 供应商信息收集

XX科技

网址:testteam.com

法人邮箱:[email protected]

法人手机号:18888888888

下属公司

XXX()科技

网址:1.testteam.com

法人邮箱:[email protected]

法人手机号:13333333333

能从公开渠道查到的信息就只有这些,把收集到来的信息资产做了个查询,发现没啥可以利用的点,决定还是从网站入手。

扫描域名,只获得了一个IP,查询历史解析也没有多余的的IP,对这个IP进行全端口扫描,对外开放IP只有3389和443、80这种端口,而且是云服务器,子域名也没有多余的资产。

记一次从供应商到目标之旅

不过发现网站目录中提供了一个OA登录的接口

记一次从供应商到目标之旅

利用弱口令登录尝试,输入账号后返回空白,但实际上是登录成功了的。

记一次从供应商到目标之旅

不过登录流程逻辑可能有点问题,需要手动改请求和访问路径才可以到后台。

记一次从供应商到目标之旅

到了供应商后台也没有发现什么信息,资产又少,所以决定从员工下手。

众所周知,github的开发者常常喜欢放一些项目资料上去,一些脚本中的泄露账号密码此类的,于是我在GitHub上收集到了疑似该公司的人。

记一次从供应商到目标之旅

他的项目仓库里面存有该公司的手册,同时我在另外一个项目找到了他的一个书签和口令密码,决定深挖此员工。

0x01 员工信息收集

从他的项目代码来看,不少都是本地的localhostIP,不过有个别的书签地址引起了我的注意,其中一个是小米官网。

根据现有的资产,该员工分别使用三个邮箱,分别为新浪和QQ,猜中他主要使用哪个邮箱也很容易,比如,查查小米的绑定。

记一次从供应商到目标之旅

记一次从供应商到目标之旅

利用找回密码功能获得小米的绑定邮箱,同时也获取到了该员工常用的邮箱。

利用之前获取到的口令使用网易邮箱大师登录网易邮箱,简略看了一下往来邮件,没啥太大的价值,为了避免后面打草惊蛇,给邮箱设置转发控下该邮箱。

记一次从供应商到目标之旅

随即使用该邮箱登录小米账号。

记一次从供应商到目标之旅

从个人收货地址获得了真实姓名和物理地址,确定了是属于该公司的物理地址,随即使用小米云服务定位到个人。

记一次从供应商到目标之旅

接着利用邮件中的地址,登录51job查看该员工简历。

记一次从供应商到目标之旅

也从该员工的历史信息中确定曾经在在目标公司的员工。

同时,从QQ邮箱中获取到了一些平台的账号。

记一次从供应商到目标之旅

从这些平台中登录了几个平台,不过都与目标无关系。

记一次从供应商到目标之旅

这个时候我已经在思考一个问题了,就是我拿了这么多信息,但是目标公司的OA,或者是内部交流使用什么渠道还不得知,无法从个人打到内部上去,内部肯定有一个通讯的地方,但是到目前为止,除了刚开始看到的技能手册,还没有看到该公司的任何信息,单纯的收集一些这种信息没啥用。

0x02 协同软件信息收集

1.腾讯文档

2.金山办公

3.钉钉

4.语雀

5.企业微信

6.微云

7.飞书

第二天,我依然坚持不懈的去找供应商的信息。

我在想既然官网没有业务或者OA,那么他们用什么平台去交流或者通讯呢?

这里我尝试了语雀/飞书/有道云笔记/钉钉/印象笔记/WPS此类的软件,经过几次尝试后,大部分账号我都可以用获取到的口令登录,钉钉和企业微信我都可以登录,但是都需要手机号验证,也许用的是两个中的一种,没得搞。

记一次从供应商到目标之旅

语雀和腾讯文档都没写啥东西,没得搞。

记一次从供应商到目标之旅

微云除了个人资料之外,没有任何公司的信息,也没啥用。

那么只剩下WPS了。

这个时候比较有意思的来了,金山文档多多少少肯定有在使用的,我用他的账号去重置为他的常用密码即可,因为他的密码规律都差不多,我赌他自己发现密码错了拿常用密码试进去了不会多想。

但是呢,这个WPS的修改密码一直没有发到我的转发邮箱里面来,然后使用了github绑定的QQ+常用密码试进去了一个。

记一次从供应商到目标之旅

记一次从供应商到目标之旅

登录进去之后,yes!终于有目标资产的信息了,是一份公司的员工通讯录名单。

记一次从供应商到目标之旅

其实搞到这里就没准备搞了,因为确定不了目标使用的通讯平台,目标资产又较少,从员工打下去也不好说,接着从员工突破下去极有可能是徒劳的耗费时间。

想想从员工搞过来这条路,运气蛮好的,凡是邮箱设置了一个二次登录验证或者他密码规则改强一点,都拿不到这份通讯录,这个员工基本上啥信息都拿到了,我感觉可能使用的是钉钉,但是钉钉需要刷人脸登录。

0x03 拿到目标

搞到这里我就开始反思,这条路似乎是拿不下来目标了,一没拿到源码,二是没有拿到系统的密码,供应商也没有较大的突破。

看他使用github的比较多,我决定修改他的GitHub密码去翻仓库代码。

使用刚开始控制的新浪邮箱修改了他密码为他的常用口令,登录成功。

记一次从供应商到目标之旅

记一次从供应商到目标之旅

在查看他的所有仓库代码的时候,意外的找到了目标系统的一个口令,密码是一个常见的密码,账号比较长,属于是运气极佳了。

使用该账号登录成功,并且还是管理员属性。

记一次从供应商到目标之旅

最终拿到后台权限。

0x04 总结

没啥技术的一次渗透,运气是第一要素,环环相扣,干就完了。


原文始发于微信公众号(雁行安全团队):记一次从供应商到目标之旅

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月16日15:15:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次从供应商到目标之旅http://cn-sec.com/archives/1010676.html

发表评论

匿名网友 填写信息