首页 > 其他分享 >记一次地市hw:从供应商到目标站再到百万信息泄露

记一次地市hw:从供应商到目标站再到百万信息泄露

时间:2023-10-08 10:23:04浏览次数:34  
标签:尝试 IP 端口 hw 信息 口令 地市 nacos 泄露

起因:某市hw、给了某医院的资产,根据前期进行的信息收集就开始打,奈何目标单位资产太少,唯有一个IP资产稍微多一点点,登录框就两个,屡次尝试弱口令、未授权等均失败。

事件型-通用性-反编译jar-Naocs-后台-供应商到目标站-批量检测-内网

1.事件型-通用型

尝试互联网获取更多目标资产的信息。fofa搜索IP发现这样一个系统,是通用型的系统(根据指纹和ico自动识别的)、大概100+单位,包括县级、市级等均用此系统。

image.png

image.png

由于之前有过类似的从供应商一路打到目标站的经历,这次猜测应该也可以

查看网站底部的备案号,发现并不是目标单位的,而是供应商的,于是开始针对供应商进行信息收集

image.png

定位到了某家公司,天眼查显示八个备案域名:

image.png

直接上enscan收集备案信息,随后根据收集到的所有备案域名,查找真实IP以及端口等

image5

根据获取到的域名,用fofa直接反查IP、子域等等,经过筛选之后,共有八个真实IP

image.png

随后就是找端口、找指纹什么的,我喜欢用fofa,现在fofa支持批量搜索100个IP资产的功能,根据系统的ICO识别指纹很快

【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

image

2.反编译jar

很快根据fofa的ico摸到了nexus系统:一个maven仓库管理器

image.png

弱口令:admin/admin、admin/admin123等均失败

弱口令尝试无果后,根据之前的反编译jar的思路,直接点击browse查看maven公开仓库

image.png

找项目仓库,发现了不少的jar包

image.png

直接下载jar包反编译查看敏感信息,包括spring鉴权口令以及redis口令均可查看

image.png

大概几十个jar包,挨个尝试敏感信息获取,将获取到的敏感信息存一个密码本中,留着撞库爆破用很快收集到了mysql用户名口令、oracle用户名口令、Redis信息、nacos口令信息、部分服务的ak/sk接口(比如人脸识别api、语言api等等),但大多都处于内网,一时无法利用。

3.Nacos

继续查看端口结果,发现其中一个IP,开放的端口很大,直到50000以上。其中一个端口48848瞬间引起了我的注意,因为nacos默认端口8848嘛,随后点开提示404(要的就是404),反手在路径处输入nacos,直接跳转到nacos登陆界面

image.png

尝试默认口令:nacos/nacos、test/123456、nacos/123456均失败,未授权添加用户以及获取用户名口令均失败、尝试jwt绕过登录等等也都失败……

用刚刚反编译jar获取到的口令进行尝试,在尝试了几个之后,成功跳转到后台

随即:

image.png

有配置就有东西,直接翻找配置文件,找敏感信息、同样发现了redis、MySQL等连接信息、还有短信云服务的ak/sk、这些AK/SK大多都是可接入存储桶什么的、但是没东西,也没有云主机……

4.通用型口令进后台

从nacos系统获取到的敏感信息继续添加到密码本中,继续找别的端口,发现了某端口下开放着和目标站点一模一样的系统界面,利用收集到的口令(密码本)尝试进行登陆供应商的系统:

image.png

尝试了几个之后。。成功以收集到的强口令登陆该系统

image.png

在某档案管理处发现4w+个人信息(身份证、手机、姓名、地址、病历等等)

image.png

在系统用户中找到3K+个人信息

image.png

翻找系统用户列表还发现系统用户还存在一个manager用户、但是默认管理员admin账户未找到,怀疑是系统开发商留下的默认用户admin,密码稍微有点复杂,大小写字母+数字+特殊符号组合。尝试利用该口令登陆该IP资产下的其它相同系统,均登录成功分别为1w+、14w+、5w+、24w+等众多敏感信息,均为不同的医院

image.png1695527204491.png

根据每个系统的特点以及信息数量可以得到,系统存在开发商管理员用户名:admin和manager,且口令为开发商初始默认口令

5.从供应商到目标站

根据前期收集到的信息,直接以初始口令登录此次hw目标站点成功打入后台,先是1K+信息

image.png

在系统管理-用户管理中同样发现存在manager用户直接以默认口令尝试登陆

image.png

获取5K+敏感信息,查看接口可获取到未脱敏信息

image.png

image.png

6.afrog批量POC

前期fofa找出来的结果,大概100+系统用afrog编写批量爆破poc尝试登陆,result=1就是登录成功;afrog、就是快、准、狠

image.png

粗略估计一下,大概100w左右的数据,永远永远的好起来了……

7.redis-供应商内网

根据前期获取到的redis口令,登陆redis成功,并且为root权限,尝试写入公钥getshell老样子,先用xshell生成公钥,将此公钥复制到liqun工具箱中,直接进行写入即可

在连接的时候踩坑了,因为目标主机开放的ssh端口过多,其中一个端口44622写入失败,换一个端口44722写入成功了。

image.png

接下来就是内网常规操作了……

标签:尝试,IP,端口,hw,信息,口令,地市,nacos,泄露
From: https://www.cnblogs.com/hetianlab/p/17748241.html

相关文章

  • 腾讯TDSQL接口未授权访问信息泄露(CVE-2023-42387)
    腾讯TDSQL接口未授权访问信息泄露CVE-2023-42387漏洞地址:http://tdsql-xxxxxxx.com/tdsqlpcloud/index.php/api/install/get_db_info漏洞描述:tdsql赤兔管理平台,api接口存在未授权返回数据库明文配置信息。漏洞详情:代码审计1,访问上述接口。2,得到明文账号密码,登录数据库。漏洞版本......
  • 别再泄露秘密了!
    《韦氏词典》将秘密定义为不让他人知道或仅与少数人秘密共享的东西。现代软件开发团队使用密码、令牌和API密钥等软件机密来正确设置、保护和维护开发环境和交付管道,并为云原生应用程序启用对AWSBuckets或AzureBlobStorage等服务的编程访问。然而,虽然秘密对于现代软件的运......
  • 从GPU的内存访问视角对比NHWC和NCHW
    NHWC和NCHW是卷积神经网络(cnn)中广泛使用的数据格式。它们决定了多维数据,如图像、点云或特征图如何存储在内存中。NHWC(样本数,高度,宽度,通道):这种格式存储数据通道在最后,是TensorFlow的默认格式。NCHW(样本数,通道,高度,宽度):通道位于高度和宽度尺寸之前,经常与PyTorch一起使用。......
  • realloc函数应用&IO泄露体验
    本题主要介绍realloc函数,平时我们使用realloc最多便是在打malloc_hook-->onegadget的时候,使用realloc_hook调整onegadget的栈帧,从而getshell。在realloc函数中,也能像malloc一样创建堆,并且比malloc麻烦一些,但是倒是挺有趣的。reallocrealloc(realloc_ptr,size)有两个参数,并且在......
  • 问题处理 --- 阿里云虚拟主机存在iis短文件泄露漏洞修复
    问题原因win为了兼容dos系统默认启用了长文件名称缩写为短文件名称的功能解决方法关闭设置。这里有两种解决办法:1.如果是云服务器或硬件设备fsutilbehaviorsetdisable8dot312.如果是虚拟主机修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable......
  • 怎样的外发文件管理办法 能够避免文件外发泄露?
    在日常办公中,重要文件保密管理可谓“老生常谈”。但我们往往容易忽视,文件保密管理并非个体所能独立完成,在整个文件运转过程中,存在多名经手人,一人发生疏忽,则整个安全屏障都会被打破。因此,为了防止企业数据文件被随意拷贝或传输到公司外部,就有了各种防泄密办法,例如禁止U盘、禁止网......
  • 记一次 .NET某新能源MES系统 非托管泄露
    一:背景1.讲故事前些天有位朋友找到我,说他们的程序有内存泄露,跟着我的错题集也没找出是什么原因,刚好手头上有一个7G+的dump,让我帮忙看下是怎么回事,既然找到我了那就给他看看吧,不过他的微信头像有点像二道贩子,不管到我这里是不是三道,该分析的还得要分析呀。......
  • Jenkins 命令执行 -- jetty 敏感信息泄露 --(CVE-2021-2816)&&(CVE-2017-1000353)&&(C
    Jenkins命令执行--jetty敏感信息泄露--(CVE-2021-2816)&&(CVE-2017-1000353)&&(CVE-2018-1000861)jetty敏感信息泄露(CVE-2021-28169)漏洞简介对于<=9.4.40、<=10.0.2、<=11.0.2的EclipseJetty版本,对带有双重编码路径的ConcatServlet的请求可以访问WEB-INF目录......
  • 使用mtrace追踪JVM堆外内存泄露
    原创:扣钉日记(微信公众号ID:codelogs),欢迎分享,非公众号转载保留此声明。简介在上篇文章中,介绍了使用tcmalloc或jemalloc定位native内存泄露的方法,但使用这个方法相当于更换了原生内存分配器,以至于使用时会有一些顾虑。经过一些摸索,发现glibc自带的ptmalloc2分配器,也提供有追踪内......
  • 2021-2022 ICPC Northwestern European Regional Programming Contest (NWERC 2021)
    A.AccessDenied先问若干次,问出长度,然后再一位一位的问即可。#include<bits/stdc++.h>usingnamespacestd;intinput(){strings;getline(cin,s);if(s=="ACCESSGRANTED")exit(0);intt=0;for(autoi:s){if(i&g......