据小道消息,一年一度的攻防演练行动立马要开始了,我们领导也早早地开始准备各种前期检查,给我安排的主要任务是做外网资产梳理。按历史经验,新的资产及“影子”资产是最容易出问题及让人头疼的,而本次这个案例就是一个比较典型的案例,这里分享出来给同样苦逼的打工安服仔们参考一下 :)
讲道理,我们在资产梳理这块是做的很不错的,毕竟做了那么多次的攻防演练还有红蓝对抗演练!但是你知道的,很多事情是你一个安服仔没办法把控得了的 ^U^ 。比如突然收到如下通知:
看到这个域名随手ping了一下:
>ping mxxxx.xxxxxxxxxx.comPING mxxxx.xxxxxxxxxx.com (xxx.xxx.xxx.15): 56 data bytesRequest timeout for icmp_seq 0Request timeout for icmp_seq 1Request timeout for icmp_seq 2Request timeout for icmp_seq 3
我看这个第一个反应是这个服务直接对外开放,也没有接入安全CDN服务。不过这个IP段倒是很眼熟,之前应该梳理过,应该没啥问题,就先看看这个IP吧。通过NMAP啥的扫描这个IP,除了443外也没啥其他服务,这个本身web也需要内部认证+随机验证等方式,感觉没啥好看的时候,想起C段看看随手用ZoomEye搜索了下:
cidr:xxx.xxx.xxx.15/24 发现个C段可疑的IP(xxx.xxx.xxx.8)开放了大量的端口服务:
浏览器访问确实都能访问,看了下Openfire的版本为4.2.3,不是最新版本测试了几个老漏洞没有成功,把目光放到了那个SeaweedFS ,这个东西没见过,搜索后发现是一个开源的分布式存储的项目:
<<<
Seaweedfs是一个非常优秀的golang开发的分布式存储开源项目,专注解决小文件存储。开发者是中国人Chris Lu。Seaweedfs的设计原理是基于Facebook的一篇图片存储系统的论文Facebook-Haystack。
项目地址:https://github.com/chrislusf/seaweedfs
>>>
按照项目描叙的进行参数测试,均可以正常调用(如写文件删除文件等)并且不需要任何认证!!!顺带提一句:当时随手用ZoomEye搜索了: title:SeaweedFS 找到2千多结果,而且基本都不需要认证即可访问。
到这里我直接写了个简单报告发给我们老大,随即联合运维做一个事件溯源,这个服务器是我们的一个私有IM服务器,在最早上线之前就做过必要的安全策略部署及测试,大概是在2021年1月初由于机器故障进行了更换,安全策略部署没有同步进行导致的 …. ….
苦逼的打工人~~然后老大又安排我给这个服务器做了一次安全检测加固……
为了防止这种“万万没想到”的问题,这里我强烈推荐下ZoomEye的“数据订阅”功能。之前我也不知道,在这次事情后我立即做了几个监控,ZoomEye的这个数据订阅可以把你关注的IP或者IP段或者搜索关键词监控起来,一旦ZoomEye上有新的数据出现就会自动下载并可以通过邮件提醒:
自从用了ZoomEye订阅功能后,我再也不用担心新机器新业务上线了~~~~so 哈啤~~~~
攻防演练在即,希望各位公鸡队的大佬们手下留情!!!另外能不能请黑哥跟猪猪侠大神说一下今年攻防演练能不能去休个假啥的,或者少用点圈天大杀器啥的,虽然我知道你那圈天多财大气粗的,但是我们防守的安服仔受不了啊~~「这句话务必保留!」
👇 点击阅读原文,立即访问ZoomEye官网~
本文始发于微信公众号(知道创宇):安服仔日志:一次利用ZoomEye的攻防演练前排查
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论