该文章为搬运文章,不是作者本人投稿,侵删! 作者:broken5 原文地址:见阅读原文
0x01 前言
有一些企业通常会在外网部署一些Nginx服务器,然后在Nginx中配置域名绑定。用户访问对应的域名,Nginx通过反向代理将对应的内网资源反馈给互联网上的用户,这样企业可以把服务器部署在自己的内网中,又可以让用户访问到一举两得。但是如果配置不当的话,一些不应该让用户访问到的资源,用户通过特殊的手段也可以访问到。
注:IP如有雷同,纯属巧合!
0x02 分析
现有一个A公司,他的主域名为ceshi.com
公司主要业务系统如下表所示:
|
系统名称 |
IP |
|
门户网站 |
10.1.20.1 |
|
商城 |
10.1.20.2 |
|
论坛 |
10.1.20.3 |
|
商城管理系统 |
10.1.20.102 |
|
论坛管理系统 |
10.1.20.103 |
|
OA系统 |
10.1.20.201 |
|
财务系统 |
10.1.20.202 |
|
nginx服务器 |
10.1.20.254 |
门户网站、商城、论坛相关业务系统需要发布到外网供用户访问,所以运维人员就给nginx服务器添加了一个公网IP(203.100.103.88),给业务系统绑定了子域名:
|
系统名称 |
子域名 |
解析地址 |
|
门户网站 |
www.ceshi.com |
203.100.103.88 |
|
商城 |
shop.ceshi.com |
203.100.103.88 |
|
论坛 |
bbs.ceshi.com |
203.100.103.88 |
通过在nginx服务器上配置反向代理,用户只要在浏览器上输入对应的域名,nginx就会匹配用户请求头中的HOST字段将请求转发到内网对应的服务器上面,如下图所示:
为了方便企业员工办公,运维人员同样给管理系统绑定了域名。考虑到管理系统暴露在外网会遭到攻击,所以就把解析记录设置为10.1.20.254(nginx服务器):
|
系统名称 |
子域名 |
解析地址 |
|
商城管理系统 |
shopadmin.ceshi.com |
10.1.20.254 |
|
论坛管理系统 |
bbsadmin.ceshi.com |
10.1.20.254 |
|
OA系统 |
oa.ceshi.com |
10.1.20.254 |
|
财务系统 |
cw.ceshi.com |
10.1.20.254 |
同样在nginx服务器上配置反向代理,如下图所示:
运维人员无意中犯了一个错误,他把内网的管理系统和业务系统都用同一台nginx服务器进行反向代理,且这台服务器外网用户可以直接访问到。攻击者只需要在本地修改Host记录为203.100.103.88 oa.ceshi.com,就可以成功访问内部的管理系统,如下图所示:
0x03 案例
子域名收集后往往会看见一些域名对应的IP是内网IP,是不能访问到的,以前我一般都会忽略这些子域名:
子域名收集过后,对IP进行统计:
发现多个Nginx节点服务器,这些服务器和前面一样,就是让用户访问企业部署的nginx反向代理服务器:
因为有些子域名DNS直接给解析成了内网IP,也就是企业的内网资源:
利用Burpsuite修改Host头,成功访问了skywalking,说明nginx服务器上配置了该域名的反向代理:
通过Intruder修改HOST头爆破所有解析记录为内网IP的子域名:
注意不要勾选编码:
通过观察返回包的长度来判断是否爆破到内网资产:
END
往期回顾
技术分享 | 低版本Tomcat如何另类getshell,绝对另类哦~
漏洞分析 |【原创】Apusic应用服务器未授权目录遍历漏洞分析(附利用方法)
漏洞分析 |【原创】Nacos历史+最新漏洞详细分析(附利用方法)
技术分享 | spring-security 三种情况下的认证绕过
实用工具 | ChatGPT Tools,无需登录网址即可直接使用
权限提升 | Linux本地提权sudo(CVE-2021-3156)漏洞复现
技术分享 | 如何利用HTTP头部注入漏洞赚取12500美元的赏金
技术分享 | Windows文件/文件夹隐藏技巧,无需借助三方软件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,文章作者和本公众号不承担任何法律及连带责任,望周知!!! |
点赞是鼓励 在看是认同 分享是传递知识
看完点个“在看”
分享给更多人
原文始发于微信公众号(杂七杂八聊安全):技术分享 | Nginx配置不当导致内网资产暴漏
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论