记一次地市hw从供应商-目标站-百万信息泄露

jiangmingzi

黎鲈 合天网安实验室 2023-10-07 17:08 发表于湖南

起因：某市hw、给了某医院的资产，根据前期进行的信息收集就开始打，奈何目标单位资产太少，唯有一个IP资产稍微多一点点，登录框就两个，屡次尝试弱口令、未授权等均失败。

事件型-通用性-反编译jar-Naocs-后台-供应商到目标站-批量检测-内网
1.事件型-通用型
尝试互联网获取更多目标资产的信息。fofa搜索IP发现这样一个系统，是通用型的系统（根据指纹和ico自动识别的）、大概100+单位，包括县级、市级等均用此系统。



由于之前有过类似的从供应商一路打到目标站的经历，这次猜测应该也可以

查看网站底部的备案号，发现并不是目标单位的，而是供应商的，于是开始针对供应商进行信息收集


定位到了某家公司，天眼查显示八个备案域名：


直接上enscan收集备案信息，随后根据收集到的所有备案域名，查找真实IP以及端口等


根据获取到的域名，用fofa直接反查IP、子域等等，经过筛选之后，共有八个真实IP


随后就是找端口、找指纹什么的，我喜欢用fofa,现在fofa支持批量搜索100个IP资产的功能，根据系统的ICO识别指纹很快


2.反编译jar
很快根据fofa的ico摸到了nexus系统：一个maven仓库管理器


弱口令：admin/admin、admin/admin123等均失败弱口令尝试无果后，根据之前的反编译jar的思路，直接点击browse查看maven公开仓库


找项目仓库，发现了不少的jar包


直接下载jar包反编译查看敏感信息，包括spring鉴权口令以及redis口令均可查看


大概几十个jar包，挨个尝试敏感信息获取，将获取到的敏感信息存一个密码本中，留着撞库爆破用 很快收集到了mysql用户名口令、oracle用户名口令、Redis信息、nacos口令信息、部分服务的ak/sk接口（比如人脸识别api、语言api等等)，但大多都处于内网，一时无法利用。

3.Nacos
继续查看端口结果,发现其中一个IP，开放的端口很大，直到50000以上。其中一个端口48848瞬间引起了我的注意，因为nacos默认端口8848嘛，随后点开提示404（要的就是404），反手在路径处输入nacos，直接跳转到nacos登陆界面


尝试默认口令：nacos/nacos、test/123456、nacos/123456均失败，未授权添加用户以及获取用户名口令均失败、尝试jwt绕过登录等等也都失败……

用刚刚反编译jar获取到的口令进行尝试，在尝试了几个之后，成功跳转到后台

随即：


有配置就有东西，直接翻找配置文件，找敏感信息、同样发现了redis、MySQL等连接信息、还有短信云服务的ak/sk、这些AK/SK大多都是可接入存储桶什么的、但是没东西，也没有云主机……

4.通用型口令进后台
从nacos系统获取到的敏感信息继续添加到密码本中，继续找别的端口，发现了某端口下开放着和目标站点一模一样的系统界面，利用收集到的口令（密码本）尝试进行登陆供应商的系统：


尝试了几个之后。。成功以收集到的强口令登陆该系统


在某档案管理处发现4w+个人信息（身份证、手机、姓名、地址、病历等等）


在系统用户中找到3K+个人信息


翻找系统用户列表还发现系统用户还存在一个manager用户、但是默认管理员admin账户未找到，怀疑是系统开发商留下的默认用户admin，密码稍微有点复杂，大小写字母+数字+特殊符号组合。尝试利用该口令登陆该IP资产下的其它相同系统，均登录成功 分别为1w+、14w+、5w+、24w+等众多敏感信息，均为不同的医院



根据每个系统的特点以及信息数量可以得到，系统存在开发商管理员用户名：admin和manager，且口令为开发商初始默认口令

5.从供应商到目标站
根据前期收集到的信息，直接以初始口令登录此次hw目标站点 成功打入后台，先是1K+信息


在系统管理-用户管理中同样发现存在manager用户 直接以默认口令尝试登陆


获取5K+敏感信息，查看接口可获取到未脱敏信息



6.afrog批量POC
前期fofa找出来的结果，大概100+系统 用afrog编写批量爆破poc尝试登陆，result=1就是登录成功；afrog、就是快、准、狠




粗略估计一下，大概100w左右的数据，永远永远的好起来了……

7.redis-供应商内网
根据前期获取到的redis口令，登陆redis成功，并且为root权限，尝试写入公钥getshell 老样子，先用xshell生成公钥，将此公钥复制到liqun工具箱中，直接进行写入即可

在连接的时候踩坑了，因为目标主机开放的ssh端口过多，其中一个端口44622写入失败，换一个端口44722写入成功了。。



接下来就是内网常规操作了……