针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试

本文记录的是作者针对某国际大型信通公司进行的一次漏洞测试，测试过程中，作者通过敏感信息泄露、错误配置、RCE等多种线索组合，最终成功实现了内网应用系统提权，可获取到目标公司内网系统的相关资料和应用数据，漏洞提交后收获了$9000的奖励。作为招式的分享学习，我们一起来看看。

本文作者为印度尼西亚安全专家YoKo Kho，漏洞众测平台Bugcrowd MVP，具备12多年行业的资深信息安全Web漏洞挖掘和渗透测试经验， 拥有OSCP、SISE（iOS Application Security Expert）、道德黑客CEH等多项技能认证。《Bug Hunting 101》作者。

前期，我已经收集了目标公司将近数千的子域名，但有了这些东西，我却有点无从下手，于是乎我只有从原始的目标公司个人信息收集入手。我尝试从Github上去发现一些目标公司开发人员留下的蛛丝马迹，这不这个视频-Github Recon and Sensitive Data Exposure（从Github平台探测发现敏感数据）给了我一些启发。

其中主要讲述的是如何从Github被上传代码库中发现凭据类敏感信息，然后去验证受影响公司的相关服务，测试是否有效，但是，从中我也得到另外的信息收集思路。我接下来做的是：

1、收集目标公司泄露在Github上的密码凭据（不管是否有效），然后尝试去发现密码规律，这样做的原因是从中或许能发现管理员在用户注册分配密码时预先会给定的一些默认密码，这种思路在后续我们会用到。非常不错，我幸运地在Github平台收集到了与目标公司相关的近50个密码凭据信息：

2、收集目标公司相关的IP地址。这样做主要有几种考虑：一是我们可以从一些公开的Github漏洞报告中去发现目标公司相关的IP地址，因为白帽们提交的漏洞报告多少总会包括一些细节分析，才会被众测平台接收，虽然有些包含目标系统内部资产信息的漏洞有时候也会存在误报可能，但是我们可以从这些公开披露的漏洞中去寻找一些IP线索，总结规律，尝试从中发现一些开发代码库或系统信息。这不，我从bugcrowd平台就发现了自己提交的与目标公司Github相关的5个P1严重级漏洞：

二是这样方便后续我们做内网探测时，可以更快地连接到内部网络相关的系统资产；三是通过目标公司泄露在Github上的信息，可以间接判断出目标公司的开发习惯和开发文化，比如我可以通过上述信息在两三个小时就能弄清其大概的开发框架和内网应用。最后，这样做也能从代码审计层面去发现目标公司在用服务的潜在问题。执行了以上几个前期步骤后，就可以针对目标公司收集到很多的线索信息。

之前那个视频Github Recon and Sensitive Data Exposure中，涉及到了密码安全问题，主要是：一些公司内部开发人员在使用类似Github的协同代码平台时犯下的错误，比如，会把包括相关密码信息的代码直接上传到Github上，这要么是太大意，要么是完全不知道Github有“隐私”功能，那么这种错误就有可能被恶意攻击者发现并利用。对于想要进行内网测试的攻击者来说，这种开发错误还是非常有用的。

接下来，我们需要做的就是登录我们自己的Github账号，用以下搜索请求进行搜索：

password “.target.com”

target.com “password_value_here”

target.com是目标公司的网站域名，当然“password”字段也可替换成telnet、ftp、ssh、mysql、jdbc、oracle等特定关键字。虽然我不太了解Github的查询机制，但利用这两个搜索语法我发现了很多有用的东西。

如果你通过上述语法发现某些项目代码存在密码泄露，那么，可以继续深挖，比如可以针对特定代码库和特定开发者用户进行搜索查询：