信息搜集和密碼利用的思路

本文結構如下

一 前言二 淺談信息搜集  2.1 外網    2.1.1 SSL證書搜索    2.1.2 ICON圖標搜索    2.1.3 ICP備案查詢    2.1.4 github上找泄露的配置密碼    2.1.5 hubter上去找郵箱的命名規則    2.1.6 供應商查找    2.1.7 網盤查詢    2.1.8 指紋信息    2.1.9 郵件內容    2.1.10 其他一些常規操作  2.2 內網    2.2.1 本機常規信息    2.2.2 各類配置文檔和文本信息    2.2.3 瀏覽器和三方工具的存儲信息三 實戰運用  3.1 案例1——招標平臺二級跳  3.2 案例2——愛企查隱藏的驚喜  3.3 案例3——郵箱爆破到內網  3.4 案例4——不靠系統漏洞，從外網獲取域控四 總結

一 前言

我們在外網進行打點的時候，會發現現在的網站防護都很高，很難找到直接利用的漏洞。因此我們會將更多的精力放在企業郵箱，vpn以及供應商上，要突破這些，要么釣魚要么爆破。信息搜集越豐富就越能為我們的爆破，釣魚甚至猜密碼提供巨大幫助。

來公司這段時間，在各位大佬的帶領下做了很多攻防項目，讓我見識了各種牛逼的思路和騷操作。尤其是信息搜集和密碼猜解的結合利用，使我在項目中進步神速。

這里就把我自己的一些關于信息搜集和密碼結合的心得和案例分享給大家，歡迎一起討論。

二 淺談信息搜集

由于我們做的是攻防項目，目標一般就給個公司名稱，常規的端口，c段，目錄，子域名等等大家都會，我這邊拋磚引玉，說下我自己的搜集方法，希望有更多的大佬出來分享。

2.1 外網

2.1.1 SSL證書搜索

一般企業資產使用ssl證書的公司名的一級域名都是一致的，所以可以通過找ssl證書的方式找同一個公司資產。

通過瀏覽器訪問公司主頁，點下瀏覽器這個鎖。

然后選擇連接是安全的-》證書有效。

可以看到證書的具體信息，一般就拿著這個信息去fofa查了。

丟到fofa里面去，fofa語法是

cert="*.syclover.com"

然后點開Certificate，還有更多關鍵字給你搜索。

2.1.2 ICON圖標搜索

思路跟ssl證書一樣，具有相同icon圖標的網站，說明他們是同一目標資產。

一般icon文件在根目錄的/favicon.ico，也可以查看源代碼看看head標簽里面icon的地址。

存儲icon圖片

拖到fofa的icon處搜索(需要fofa高級會員，不過這年頭誰又不是呢)。

除了fofa外，還可以用360quake來搜索。

360quake的好處就是分得很細并且更簡化了使用者的操作。

搜索后會直接有相關icon和c段查詢選項，對于資產搜集更快捷方便。

2.1.3 ICP備案查詢

思路還是與上面相同，不過這個icp備案查詢fofa和360似乎都不支持。這個可以用奇安信的搜索引擎，https://hunter.qianxin.com/，只是奇安信這個暫時沒開啟充值，用一會兒就沒額度了。

2.1.4 github上找泄漏的配置密碼

有很多程序員喜歡把github當代碼倉庫，這就給了我們可趁之機。

語法：seclover.com password in:file(需要登陸github)

搜出的結果按時間排序，盡量看.py，.config,.properties后綴的文件，時間超過半年的都可能會失效。

比如簡單查個某目標。

2.1.5 hunter上去找郵箱的命名規則

使用hunter.io查找企業郵箱可以獲取命名規則，這樣后續爆破郵箱很方便。

2.1.6 供應商查找

一些大型央企，比如很多大企業都有自己的招標平臺，我們去招標平臺公示處看看有哪些供應商中標了。這些公司可以作為供應鏈攻擊的首選。

當然不是說隨便哪個供應商就去搞的，比如用了某殺毒軟件，那不可能要把某安全公司給搞了。拿到供應商名單后，去簡單摸下信息，盡量找中型企業，有自己的線下服務器非云服務器。

還可以查看登陸頁面下面的技術支持。

url路徑暴露供應商信息。

2.1.7 網盤查詢

網盤查詢我主要用優聚搜https://ujuso.com/#/和凌風云https://www.lingfengyun.com/，還有其他的網盤工具，主要就是查看是否網盤中存有目標的敏感文件。

2.1.8 指紋信息

在線可以用云悉來對cms進行指紋識別。對于資產較多的企業，可以把fofa，goby，oneforall等結果保存，使用棱洞ehole來離線識別。盡快提取shiro,weblogic,泛薇，致遠等容易直接rce的資產出來。

棱洞地址：https://github.com/EdgeSecurityTeam/EHole

2.1.9 郵件內容

當我們獲取一個郵箱時候，第一步首先導出通訊錄，后續爆破出更多郵箱賬號。然后就是在郵箱中搜索各種關鍵字，密碼、password、VPN等等。

查看郵件頭中的源ip，定位郵箱服務器位置。

多花時間細看郵件內容，垃圾箱里面的附件也不要錯過。

這里還有個小技巧，當你獲取對方郵箱密碼的時候，登陸提示你密碼過期修改密碼，或者短信驗證的時候，可以試試不要用web網頁，下個手機客戶端或者電腦客戶端，通過客戶端登陸能繞過這些驗證。

2.1.10 其他一些常規操作

app反編譯后查詢域名和ip，微信公眾號接口，小程序抓包查看請求主機，天眼查之類的查看公司關系尋找子公司，google語法查找未授權的代碼倉庫，不要忘記還有之前互聯網公開的泄露數據的使用。

2.2 內網

現在大家進到內網的普遍操作就是掏出fscan一把梭，除了fscan外，還可以注意更多的信息收集。在內網中，密碼顯得尤其重要。四葉草著名神秘高人就曾說過：“對于企業來說，任何一個密碼都是有用的，誰掌控了更多的密碼，誰就掌控了內網！”

2.2.1 本機常規信息

這里主要就是用windows和linux自帶的命令搜集，主要有：本地密碼讀取，域內ntdis.dit讀取，本地網絡連接記錄，arp/dns緩存記錄，rdp/ssh的連接記錄，hosts文件，各用戶的歷史命令等等。這些命令網上太多就不贅述了。

2.2.2 各類配置文檔和文本信息

這里主要就是找web網站數據庫配置文件中的密碼，Web.config,config,php,*.properties等等文件。翻看運維腳本文件，比如.ps1,.py,.bat等，去找里面可能存在的密碼。

不要錯過任何文本內容，尤其是desktop上的，很多工作人員喜歡把密碼記在txt中然后丟到桌面上。

2.2.3 瀏覽器和三方工具的存儲信息

服務器在應用中少不了三方管理工具，比如xshell，securecrt，navicat之類。而這些工具如果在使用的時候設定了保存密碼，那么是有辦法去破解的。

瀏覽器也是一樣，瀏覽器自動保存密碼可以使用工具導出。

https://github.com/moonD4rk/HackBrowserData

數據庫navicat也有解密的工具。

https://github.com/HyperSine/how-does-navicat-encrypt-password

xshell的解密工具

https://github.com/dzxs/Xdecrypt

其他的網上都有，沒有現成工具也有解密原理。

三 實戰運用

這里分享的案例主要是體現信息搜集和密碼利用的思路，過程因為篇幅有較大縮減。

3.1 案例1--招標平臺二級跳

某央企項目，在其招標采購網進行聯系人搜索，找到一個供應商郵箱。

通過之前互聯網公開的泄露數據查詢該聯系人電話，查出密碼成功撞進郵箱。在該郵箱中發現了目標單位采購部人員聯系方式。

繼續使用之前互聯網公開的泄露數據查，運氣好又成功了，這樣實現了從招標平臺到企業郵箱的二級跳。

翻看附件，通過一系列搜索找到一處頁面。

下載app然后反編譯找到地址最后獲取shell。

3.2 案例2--愛企查隱藏的驚喜

某HW項目，找到oa頁面。一開始拿exp打沒有效果（后來發現是exp弄錯了，尷尬），短暫陷入僵局。

以前的我遇到這種exp打不進去就會直接放棄，現在不同了，我會簡單嘗試猜一下弱口令，碰下運氣。用戶去哪兒找呢？我將目光放到了愛企查。在頁面中查到公司主要人物，我打算每個人都試一下，密碼就是123456，111111，全拼+123456，全拼@123456之類的。

結果運氣還真來了，試到第二個就進去了。

進了oa，權限還挺大，所以后續波瀾不驚正常操作，泛薇exp也成功利用，基本上打穿了。但是還差一臺比較重要的服務器。

當時情況是這樣，通過抓取獲得兩個通用密碼：

administrator/456rty$%^20170106

administrator/123qwe!@#_fwq

這兩個密碼基本上通殺內網里面的服務器，路徑分刷的差不多了。但是還有一臺重要服務器不能用，這時候就只有硬猜了。

這兩個密碼規律都是跟鍵盤有關，后續跟的內容跟時間和公司有一定聯系。所以排列組合一下最終猜出了正確答案：administrator/456rty$%^

3.3 案例3--郵箱爆破到內網

國內某知名上市軟件企業攻防項目。這個項目嚴格來說是看大佬操作，正是這個項目學到了郵箱爆破的思路。

信息搜集一番后，雖然目標資產很多，但是沒找到啥突破口，畢竟目標也是it公司，對安全這塊也很重視。還好運氣不錯，在領導給的聯系人中通過之前互聯網公開的泄露數據找到一個密碼，登上了郵箱。不過該人員屬于業務部門，郵件中沒有什么對我們有價值的內容。怎么辦呢？當然第一步先把通訊錄導出來，導出來后，大佬一波突突，順利找到多個賬號，爆破原理就是通過對姓名聲母韻母的拆分，外加123，12345等常見后綴形成的弱口令，結果如下

登錄這些新賬號，慢慢搜索，最終另外一位大佬找到一處隱秘地址存在shiro漏洞，進了內網，后續一路靠著搜集來的密碼和key控制了云主機管理平臺。

3.4 案例4--不靠系統漏洞，從外網獲取域控

國內某上市網絡服務提供商攻防項目，客戶提供了ip地址，不準釣魚。先是照著上面信息搜集的方式，在github上先有了收獲。

登錄了后發現這個郵箱是個海外的客服郵箱，當客戶請求密碼重置的時候這個郵箱可以發送重置鏈接，所以理論上可以獲得任意客戶的賬號。

只是這個郵箱對應的域名和其網站提供的服務屬于對外業務，跟我們初始目標有一定差距，確定方向偏了后就沒再深入挖掘。

接下來是掃描客戶給的自用ip段。

找到一個站點，在郵件通知處發現泄漏的賬戶和密碼。用f12查看隱藏的密碼。

登陸郵箱成功，郵箱中發現vpn地址（辦公區域）。

郵箱垃圾箱中發現郵箱每天接收的routerOS的配置文件備份，其中有其他vpn的連接密碼(生產區域)。

登陸第一個辦公區域的vpn后才能登陸第二個生產區域vpn。此后攻擊鏈分成兩路，分別對生產區域和辦公區域進行滲透。

后面操作就是上述提到的，對每個內網主機的文件都不放過。

在生產區域內，在某一臺運維機上，發現運維腳本，上面有域控賬號的密碼，但是上面的密碼過期了。

這是今年1月份的密碼，嘗試之后發現失敗。但是結合原本密碼猜測，如果要改就是把xxx@2013;1改成xxx@2013;2，以此類推，按半年改一次的話，現在7月，不是2就是3，嘗試連接成功,密碼是xxx@2013;3。至此生產環境域控權限拿下。

轉戰辦公環境，雖然通過單點登陸進入了很多內部系統，但是系統中沒有漏洞，辦公內網個人機防護也到位，始終無法獲取shell。

這里因為缺乏經驗卡了很久，幸好在神秘高人的幫助下，然后內網所有信息都全部集齊生成了密碼本，成功爆破zabbix服務進入后臺。

有了zabbix的后臺，直接提升一個普通賬戶為域管，后續波瀾不驚的拿下生產環境。

四 總結

信息搜集始終是最重要的。這篇文章談了談信息搜集和密碼利用的思路，但是這類思路不是萬能的，很多時候需要運氣，成功率也不高，只是給大家在沒有突破的時候提供一點啟發，更多還是要靠自己打牢自己的基礎去找漏洞。