之前一直想着通过上报漏洞形式给信息化考核加点分数,这周末从厂商例子想到了一个渗透的途径,并且在某个必须对外开放业务中寻找到一个脆弱的厂商进行测试,有意外收获。

两个厂商例子

1.jz,做的是教育行业的:认证,教务,数据相关的 在这次周末前发现督促整改的一个厂商系统将接口暴露在外网,并且这个端口还是供内部进行Api调用,并且可能接触到敏感信息,由于反代配置失误都暴露在公网。 在发现这个事情之后,领导说,有可能其他学校也是这种情况,因为这家厂商统一的部署都是这样子,查看了我们同一个城市的其他学校的类似系统确实也是如此:在某个目录暴露了这个接口。 在厂商以往更新日志中,还看到这接口的swagger和druid暴露……结合暴露在公网的错误配置,也许已经发生了很严重的事情只是我们不知道。 最后当然是限制在内网了……如果没发现可能就一直在公网了……

2.pd厂商:做的是仪器管理 泄露了所有客户的用于运维的远程连接,并且系统有上传文件漏洞…… 领导吐槽说这厂商在修复过程中的表现较不专业……

某些厂商容易出问题的原因

太菜

像jz其实规模较大,本身又是主要做身份认证的,倒是愿意相信代码安全上没严重问题,但负责地区部署运维人员和他们总部开发人员水平肯定有差异,而配置也是重要的。

pd就是某个特定行业的公司,面向的是非IT专业人员的,所以他们的甲方(非计算机类的其它理工科专业人员)信息安全意识较差,对乙方安全性上的提出的要求肯定不高。因此,出这样的非常严重事情也很正常。

如何利用

听说上报漏洞可以给单位信息化考核加点小分数,所以周末一直琢磨着怎么利用这种事件或者说这种现象,两个特点:1.厂商部署方式和代码相同,漏洞也都会一样;2.非IT专业采购的系统安全性堪忧。

一开始找了很多方向,发现大多都需要各单位的统一账号才能进入,或者都在内网里面,要求有VPN之类的。

突然想到了一个肯定需要外部人员也能访问的业务系统(具体是啥系统得上报了这些漏洞再详细说明。。。)。

以此系统名称为关键字搜索找到了一些厂商,找到了几家,1.第一家官网上还写着提供IT培训,果断不测,因为目标是菜的厂商,能做IT培训的可能不会太菜。2.JZ也有做这个方向,也放弃了测试,大公司虽然产品难用但我这水平想要测出问题可能不容易。 3.K公司一看很丑,打开一个用户案例网站注册连身份证号码都没校验,手机号码也没校验,虽然很专注于此方向,但它看起来就是最菜的,就决定是这家K公司的产品。

然后根据K公司官网的用户案例列表,搜索外人也能注册进入的该业务系统名字进行测试。

用了隔壁的隔壁省的某家省属单位进行了测试。。。

测试结果

注入和上传之类的,似乎有被WAF挡住,也可能是我太菜没能测出来,但是发现了逻辑越权漏洞,由于K公司这套系统的数据查询方式较为灵活,所以很严重,能得到很多个人详细信息,如果能利用好的话,可能都能以此作为社工资料或者有VPN默认密码(例如有些系统喜欢用身份证后六位作为默认密码,而此处越权包括身份证一并泄露)的话,作为下一步攻击的跳板 了。

后续

接下来会把所有用到此系统的单位尽量测一遍,并上报给上级部门,看能不能给考核加分哈哈。

待厂商修复完成后,再写一篇文章详细说下咋测试的。。。不过其实没啥技术含量,也就逻辑越权,更多的耗费的是人工而没法自动,但正好也发挥了自己能做到的,毕竟如果漏洞能被自动检测到,那也轮不到我们来发现了,大概安全厂商或者恶意人员这些更专业的早就发现或者利用起来了。