Deepseek是如何被黑掉的

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任

正文

Deepseek的内部 ClickHouse数据库 泄露了,攻击者是怎么做到的,我们来看看:

1.从信息收集做起

subfinder -d deepseek.com

如图所示,结果将有很多(这里仅仅只是展示,一般subfinder这个工具需要配置一些付费的api),我们需要从结果里面寻找到有效的子域名,这里的有效子域名是指具有IP地址的DNS记录，或者指向另一个资产的DNS记录

例如: sub1.example.com 的DNS记录是一个A记录，指向IP地址192.168.1.1。sub2.example.com 的DNS记录是一个CNAME记录，指向cdn.example.com，而cdn.example.com可能是一个CDN服务的域名。

通过DNS记录确认的子域名列表中，进一步筛选出那些“对外暴露且正在运行某种服务”的子域名

cat resolved | httpx -title -status-code -location -ip -cname -follow-redirects

通过之前的分析，已经得到了一个属于DeepSeek公司的公开可访问的HTTP服务器列表。这些服务器可以通过互联网访问，并且属于DeepSeek公司。

大多数服务器都是合法的，例如他们的聊天机器人（Chatbot）、API文档（API Docs）或状态网页服务器（status web server）。这些服务器提供了正常的服务，没有发现异常或可疑的情况。

有两个资产引起了注意:

http://oauth2callback.deepseek.com

http://dev.deepseek.com

使用nuclei在后台自动扫描已发现的服务器，检查是否存在HTTP和网络配置错误。工具会检查多种类型的配置问题和安全漏洞，验证方法准确，误报率低，且扫描过程无损，不会影响目标服务器的正常运行。这种自动化的扫描和配置检查有助于及时发现和修复潜在的安全问题，提高系统的安全性。

在访问目标服务器时，发现这些服务器正在运行ClickHouse数据库管理系统，这通常是一个内部使用的数据库系统。为了检查这些服务器是否存在安全问题，如未认证访问或配置错误，使用了Nuclei工具进行扫描。扫描结果显示，这些服务器确实对整个互联网公开，这意味着它们可能面临安全风险，因为ClickHouse通常不应该公开给外部访问。这种配置错误或未认证访问可能导致敏感数据泄露或被恶意利用。

在发现目标服务器运行ClickHouse数据库后，通过访问ClickHouse的HTTP API，我们能够直接查询MySQL数据库，发现数据泄露

原文始发于微信公众号（迪哥讲事）：Deepseek是如何被黑掉的