banner
毅种循环

毅种循环

头顶铁锅接收宇宙能量
HomeArchivesNFT 展示关于

记一次从供应商到目标之旅

#渗透测试87
AI-generated summary
The article describes an attempt to gather information on a company's assets through various means, including hacking into an employee's email and accessing their GitHub account. The author was able to gain access to a company employee directory through a WPS account, but notes that stronger security measures could have prevented their success. The author ultimately gained backend access through a non-technical penetration attempt and attributes their success to luck.


因涉及敏感信息较多,厚码见谅。
最近一段时间有个项目,当时对某个单位目标进行了信息收集,该系统是一个邮件系统。

目标:XXX.gov.cn 某个政务级目标
系统:自建的邮件服务系统

系统有滑块验证,因此从 web 爆破邮箱的作用不大,同时,服务端也没有真实 IP 可以走协议爆破。

image

然后对该系统进行了信息收集,同时利用天眼查查询到目标所属资产的供应商为 XXXX 公司。该公司承包了该市级单位绝大部分的第三方系统开发,属于是很有价值的供应商,随即改变想法准备去从供应商下手。

0x2 供应商信息收集#

XX 科技
网址:testteam.com
法人邮箱:188888888_@_qq.com
法人手机号:18888888888

下属公司
XXX () 科技
网址:1.testteam.com
法人邮箱:13333333_@_qq.com
法人手机号:13333333333

能从公开渠道查到的信息就只有这些,把收集到来的信息资产做了个查询,发现没啥可以利用的点,决定还是从网站入手。
扫描域名,只获得了一个 IP,查询历史解析也没有多余的的 IP,对这个 IP 进行全端口扫描,对外开放 IP 只有 3389 和 443、80 这种端口,而且是云服务器,子域名也没有多余的资产。

image

不过发现网站目录中提供了一个 OA 登录的接口
image

利用弱口令登录尝试,输入账号后返回空白,但实际上是登录成功了的。

image


不过登录流程逻辑可能有点问题,需要手动改请求和访问路径才可以到后台。
image

到了供应商后台也没有发现什么信息,资产又少,所以决定从员工下手。
众所周知,github 的开发者常常喜欢放一些项目资料上去,一些脚本中的泄露账号密码此类的,于是我在 GitHub 上收集了到了疑似该公司的人。
image

他的项目仓库里面存有该公司的手册,同时我在另外一个项目找到了他的一个书签和口令密码,决定深挖此员工。

0x3 员工信息收集#

从他的项目代码来看,不少都是本地的 localhostIP, 不过有个别的书签地址引起了我的注意,其中一个是小米官网。
根据现有的资产,该员工分别使用三个邮箱,分别为新浪和 QQ,猜中他主要使用哪个邮箱也很容易,比如,查查小米的绑定。
image

image
利用找回密码功能获得小米的绑定邮箱,同时也获取到了该员工常用的邮箱。

利用之前获取到的口令使用网易邮箱大师登录网易邮箱,简略看了一下往来邮件,没啥太大的价值,为了避免后面打草惊蛇,给邮箱设置转发控下该邮箱。


image

随即使用该邮箱登录小米账号。

image

从个人收货地址获得了真实姓名和物理地址,确定了是属于该公司的物理地址,随即使用小米云服务定位到个人。
image


接着利用邮件中的地址,登录 51job 查看该员工简历。

image

也从该员工的历史信息中确定曾经在在目标公司的员工。
同时,从 QQ 邮箱中获取到了一些平台的账号。
image

从这些平台中登录了几个平台,不过都与目标无关系。
image

这个时候我已经在思考一个问题了,就是我拿了这么多信息,但是目标公司的 OA,或者是内部交流使用什么渠道还不得知,无法从个人打到内部上去,内部肯定有一个通讯的地方,但是到目前为止,除了刚开始看到的技能手册,还没有看到该公司的任何信息,单纯的收集一些这种信息没啥用。

0x4 协同软件信息收集#

1. 腾讯文档
2. 金山办公
3. 钉钉
4. 语雀
5. 企业微信
6. 微云
7. 飞书

第二天,我依然坚持不懈的去找供应商的信息。
我在想既然官网没有业务或者 OA,那么他们用什么平台去交流或者通讯呢?
这里我尝试了语雀 / 飞书 / 有道云笔记 / 钉钉 / 印象笔记 / WPS 此类的软件,经过几次尝试后,大部分账号我都可以用获取到的口令登录,钉钉和企业微信我都可以登录,但是都需要手机号验证,也许用的是两个中的一种,没得搞。
image
语雀和腾讯文档都没写啥东西,没得搞。
image
微云除了个人资料之外,没有任何公司的信息,也没啥用。

那么只剩下 WPS 了。
这个时候比较有意思的来了,金山文档多多少少肯定有在使用的,我用他的账号去重置为他的常用密码即可,因为他的密码规律都差不多,我赌他自己发现密码错了拿常用密码试进去了不会多想。
但是呢,这个 WPS 的修改密码一直没有发到我的转发邮箱里面来,然后使用了 github 绑定的 QQ + 常用密码试进去了一个。
image

image

登录进去之后,yes! 终于有目标资产的信息了,是一份公司的员工通讯录名单。
image

其实搞到这里就没准备搞了,因为确定不了目标使用的通讯平台,目标资产又较少,从员工打下去也不好说,接着从员工突破下去极有可能是徒劳的耗费时间。
想想从员工搞过来这条路,运气蛮好的,凡是邮箱设置了一个二次登录验证或者他密码规则改强一点,都拿不到这份通讯录,这个员工基本上啥信息都拿到了,我感觉可能使用的是钉钉,但是钉钉需要刷人脸登录。

0x5 拿到目标#

搞到这里我就开始反思,这条路似乎是拿不下来目标了,一没拿到源码,二是没有拿到系统的密码,供应商也没有较大的突破。
看他使用 github 的比较多,我决定修改他的 GitHub 密码去翻仓库代码。
使用刚开始控制的新浪邮箱修改了他密码为他的常用口令,登录成功。
image



image
在查看他的所有仓库代码的时候,意外的找到了目标系统的一个口令,密码是一个常见的密码,账号比较长,属于是运气极佳了。

使用该账号登录成功,并且还是管理员属性。
image

最终拿到后台权限。

0x6 总结#

没啥技术的一次渗透,运气是第一要素,环环相扣,干就完了。




Loading...
Ownership of this post data is guaranteed by blockchain and smart contracts to the creator alone.