针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试(2)

或者再找找该开发者的其它代码库。如果这些搜索方式都没啥发现，那么我们可以去找找哪些与当前项目开发者或拥有者存在开发协作关系或互动，然后再针对这个用户再继续用上述语法搜索一遍。以下为我总结的Github信息收集（Recon）流程图：

活用Google Dork搜索语法收集信息

接下来，我尝试用Google Dork搜索，这里我用到的语法关键字是目标公司的一个内部非公开子域名和相关密码模式，该内部子域名是我在第一阶段Github平台中发现的，当时通过它我又关联到了好几个子域名。由于这些子域名无法通过外网访问到，我猜想这些子域名是目标公司用于开发之用的。

虽然这些子域名是内部域名，但我还是想尝试看看Google大法的神奇，于是就用以下Google Dork语法进行了搜索：

site:*.subx.target.tld AND intext:'one_of_password_pattern_value_here'

竟然真的有所发现！从中我发现了目标公司内部域名和服务端相关的大量密码凭据（如FTP/SSH）和内部IP地址等信息，尽管它们需要从内网才能访问或利用，但也算有所发现。

通过调整搜索关键字，如已知的IP地址、产品应用(如Oracle、MySQL、MSSQL等）、服务名称 (FTP, SSH, DB等）和其它登录键值字段（如password、pwd、pass、username、userid等），或与登录相关的dashboard、cms等内容。

另外，通过Google大法，我还在某些众测平台披露的漏洞报告中发现了目标公司相关的4个账号，在披露漏洞中这4个账号都可以访问到顾客数据，而且这些账号都使用了我在Github中发现的密码模式。

另外，我还发现了不在测试范围内的另一超级管理员账号（super admin）,该账号信息涉及目标公司客户的多项交易数据，可惜它所属于的系统并不在于我渗透测试范围内，为了保密只放出具体漏洞报告示例，账号信息就不截图了。

通过旧版本Atlassian Crowd应用发现未授权RCE漏洞

手上有了一堆内网信息和其密码配置模式，但还缺少一个有效的内网访问渠道。为此，我又想从其子域名中发现更多线索，这次我用到了域名和主机可视化发现工具aquatone。之后我发现了目标公司在用的一个老版本服务端，从其显示线索中来看，只有一些带有类似 1st words、2nd words、3rd words和crowd关键字的可点击链接，其中的“crowd”引起了我的注意，于是我点击了“crowd”的关键字链接，然后它跳转到了一个Atlassian Crowd应用的子域名网站，从中注意到是2017年的版本。