記一次地市hw:從供應商到目標站再到百萬信息泄露

起因：某市hw、給了某醫院的資產，根據前期進行的信息收集就開始打，奈何目標單位資產太少，唯有一個IP資產稍微多一點點，登錄框就兩個，屢次嘗試弱口令、未授權等均失敗。

事件型-通用性-反編譯jar-Naocs-后臺-供應商到目標站-批量檢測-內網

1.事件型-通用型

嘗試互聯網獲取更多目標資產的信息。fofa搜索IP發現這樣一個系統，是通用型的系統（根據指紋和ico自動識別的）、大概100+單位，包括縣級、市級等均用此系統。

由于之前有過類似的從供應商一路打到目標站的經歷，這次猜測應該也可以

查看網站底部的備案號，發現并不是目標單位的，而是供應商的，于是開始針對供應商進行信息收集

定位到了某家公司，天眼查顯示八個備案域名：

直接上enscan收集備案信息，隨后根據收集到的所有備案域名，查找真實IP以及端口等

根據獲取到的域名，用fofa直接反查IP、子域等等，經過篩選之后，共有八個真實IP

隨后就是找端口、找指紋什么的，我喜歡用fofa,現在fofa支持批量搜索100個IP資產的功能，根據系統的ICO識別指紋很快

2.反編譯jar

很快根據fofa的ico摸到了nexus系統：一個maven倉庫管理器

弱口令：admin/admin、admin/admin123等均失敗

弱口令嘗試無果后，根據之前的反編譯jar的思路，直接點擊browse查看maven公開倉庫

找項目倉庫，發現了不少的jar包

直接下載jar包反編譯查看敏感信息，包括spring鑒權口令以及redis口令均可查看

大概幾十個jar包，挨個嘗試敏感信息獲取，將獲取到的敏感信息存一個密碼本中，留著撞庫爆破用很快收集到了mysql用戶名口令、oracle用戶名口令、Redis信息、nacos口令信息、部分服務的ak/sk接口（比如人臉識別api、語言api等等)，但大多都處于內網，一時無法利用。

3.Nacos

繼續查看端口結果,發現其中一個IP，開放的端口很大，直到50000以上。其中一個端口48848瞬間引起了我的注意，因為nacos默認端口8848嘛，隨后點開提示404（要的就是404），反手在路徑處輸入nacos，直接跳轉到nacos登陸界面

嘗試默認口令：nacos/nacos、test/123456、nacos/123456均失敗，未授權添加用戶以及獲取用戶名口令均失敗、嘗試jwt繞過登錄等等也都失敗……

用剛剛反編譯jar獲取到的口令進行嘗試，在嘗試了幾個之后，成功跳轉到后臺

隨即：

有配置就有東西，直接翻找配置文件，找敏感信息、同樣發現了redis、MySQL等連接信息、還有短信云服務的ak/sk、這些AK/SK大多都是可接入存儲桶什么的、但是沒東西，也沒有云主機……

4.通用型口令進后臺

從nacos系統獲取到的敏感信息繼續添加到密碼本中，繼續找別的端口，發現了某端口下開放著和目標站點一模一樣的系統界面，利用收集到的口令（密碼本）嘗試進行登陸供應商的系統：

嘗試了幾個之后。。成功以收集到的強口令登陸該系統

在某檔案管理處發現4w+個人信息（身份證、手機、姓名、地址、病歷等等）

在系統用戶中找到3K+個人信息

翻找系統用戶列表還發現系統用戶還存在一個manager用戶、但是默認管理員admin賬戶未找到，懷疑是系統開發商留下的默認用戶admin，密碼稍微有點復雜，大小寫字母+數字+特殊符號組合。嘗試利用該口令登陸該IP資產下的其它相同系統，均登錄成功分別為1w+、14w+、5w+、24w+等眾多敏感信息，均為不同的醫院

根據每個系統的特點以及信息數量可以得到，系統存在開發商管理員用戶名：admin和manager，且口令為開發商初始默認口令

5.從供應商到目標站

根據前期收集到的信息，直接以初始口令登錄此次hw目標站點成功打入后臺，先是1K+信息

在系統管理-用戶管理中同樣發現存在manager用戶直接以默認口令嘗試登陸

獲取5K+敏感信息，查看接口可獲取到未脫敏信息

6.afrog批量POC

前期fofa找出來的結果，大概100+系統用afrog編寫批量爆破poc嘗試登陸，result=1就是登錄成功；afrog、就是快、準、狠

粗略估計一下，大概100w左右的數據，永遠永遠的好起來了……

7.redis-供應商內網

根據前期獲取到的redis口令，登陸redis成功，并且為root權限，嘗試寫入公鑰getshell老樣子，先用xshell生成公鑰，將此公鑰復制到liqun工具箱中，直接進行寫入即可

在連接的時候踩坑了，因為目標主機開放的ssh端口過多，其中一個端口44622寫入失敗，換一個端口44722寫入成功了。

接下來就是內網常規操作了……