---------------------------------------------------------------
本文题干阅读时间推荐5min
---------------------------------------------------------------
如果各位童鞋想讨论以下相关内容,欢迎关注公众号, 联系我:
-
OSCP相关技术(备考中)
-
CISSP备考经验(已通过认证)
-
CCSK(云安全)(已通过认证)
-
ISO/IEC 27001 Foundation(已通过认证)
--------------------------------------------------------------
一、背景
Q3季度末,大家都在忙着冲刺OKR
本就是急躁一周,奈何上午一个应急响应,心里慌的一匹,在一顿验证下,还是一个误报,这不是瞎捣乱么这是~
本以为就这样就能安安稳稳过去,俗话说:祸不单行,巧了,要到下班了,尼玛整活了,又来了一个应急响应,说存在代码泄露。。。。
二、看问题
1、工单转发到手
2、查看具体报告
浅显的看一下报告,基本信息备注里面写的是低危漏洞包括信息类漏洞,但后面漏洞详情中又写的是高危漏洞,so,I have a question,这个漏洞,到底是啥级别?
三、开干,咱排查的就是真实
3、PR信息收集
访问一下gitea平台,涉及报告中的的代码
首先能看到的就是有一个邮箱:[email protected],这个人应该是最近一次维护的人,针对这个PR上传的用户使用一个“大杀器排查”
账号: hzdzkjstudent 密码: 57******06 |
由于英语不好,只认识一个student 这个单词,凭着感觉,前面好像是啥学校简称,特地“度娘”了一下,哟,原来是个大学生呢
回过头一看,哟,这邮箱好像也是个学校简拼呢
也不懂以上两个学校有啥关系,也不懂这个PR的哥们是啥个意思。
4、注册网站,拨开雨雾见项目负责人
正在一愁莫展的时候,突然发现,这个gitea平台竟然可以注册,遂注册,该平台可进行任意用户注册,注册成功后,对项目负责人进行查看,发现项目负责人的QQ号展示出来了:[email protected]
针对项目负责人的排查:
通过QQ号先进行“大杀器排查”:
姓名: 卢x鑫
手机号码: 182xxxx0468 证件: 61xxxx68 账号: 2017xxxxxxxx060 学校: 金华职业技术学院 |
发现了个手机号,再通过手机号先进行“大杀器排查”:
「 @ - QQ绑定 」 QQ: 1145480579 手机号码: 182xxxx0468 归属地: 浙江省 温州市 移动 「 @ - 快递信息 」 姓名: 卢x鑫 手机号码: 182xxxx0468 归属地: 浙江省 温州市 移动 地址: 浙江省温州市xx市柳市镇柳青南路xxxx号 |
其实到这边,属于一个乙方的职责就行使了一大半,后面就是看代码,联系删除的事情了。
5、都到这了,顺带把域名和主机也看看吧
在项目中,有个跳转,暴露了一个域名:gitea.siginfo.cn
顺着域名,就可以查询到企业名称等
知识点: 很多时候,由于种种历史原因,类似功能或者代码里存在跳转的地方皆会存在从IP到域名的切换,或者从域名到IP的切换,尤其是填写的实际IP的,有极大可能是内网或者waf后面的源IP地址。 |
针对主机的排查:
Fofa 查询,发现线上是存在一些代码平台中查询到的系统,如:国有资产智管系统(工业能源集团后台)
微步在线的威胁情报,提示了这个IP有较多路径扫描,反正多少也不干净
6、最后的最后,要给“甲方爸爸”一个反馈吧
针对应用的排查:
通过审计代码以及和前端研发人员沟通确认,我司开发暂无使用“uview-ui”框架。
整个项目里面涉及的几个appid ,也非我司登记发布的小程序。
四、整理文档,收尾,通知客成同事反馈
1、问题排查清楚,通过对接同事反馈商户,这个“锅”咱接不了。
2、商户依然盯着我们客成同事问该怎么办?
五、接机聊几个问题,在线求解
1、通过排查,发现该项目负责人的几个平台都运行在该IP下面,如果谁说该项目负责人和这个主机归属人(也可以叫做企业负责人)不认识,我恐怕有一万个不相信。
2、根据排查,万幸这不是我们的代码被泄露,这小程序名称是不是太巧合了?检测单位就是按照名称就给发通知了么?
注意:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关!~
点赞&“在看”,年薪百万 =》
原文始发于微信公众号(从放弃到入门):我:卑微乙方在线挨叼,用时数时只为自证清白~!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论