一次内网渗透经验谈 – 作者:mandaren

渗透路径

1. http://x.x.x.x:xxx/xxl-job弱口令漏洞
2. 通过xxl-job shell模式任务反弹到执行器
   x.x.x:xxxx,获得该服务器root权限，这里XXL-JOB执行器还有一个反序列化代码执行漏洞，因为已经可以使用SHELL模式任务，所以并未使用，但是要注意修复
3. 通过上述服务器，发现内网服务器两台，分别安装了Redis服务，分别是x,5.x版本，这个两个版本都存在着RCE远程代码执行漏洞，顾拿下此两台服务器，此两台服务器的密码分别在某项目的配置文件夹下拿到
4. 通过分析上述服务器下的各个项目发现数据库若干，消息中间件，注册中心若干，以及其他信息
5. 在通过分析服务器中配置文件时发现一个Spring Config地址，顾拿到GitLab地址和账号密码，这个账号是超级管理员权限
6. 通过登录GitLab拿到所有项目源代码和配置文件地址，以及贵司开发人员信息，这也是我为什么能通过QQ联系到贵司小姐姐的原因
7. 通过查看贵司GitLab版本信息，发现贵司GitLab所在版本存在文件遍历和RCE远程代码执行漏洞，详情请关注GitLab官网
8. 虽然我是通过配置文件知道贵司的GitLab账号密码，但是贵司的GitLab公然暴漏在公网，而且账号密码弱口令，非常危险，且同时存在漏洞
9. 贵司除上述服务外，其他服务未进行测试，不保证是否存在安全漏洞，也未在进一步探测其他环境，因为已经拿到GitLab最高权限账号，可以做到代码还没上线就能存在后门
10. 点到为止，未连接贵司任何数据库，未下载贵司任何数据，未登录贵司任何运营系统，未修改贵司任何数据

修复建议

1. 格式化所有服务器，重新搭建环境，所有软件在官网重新下载安装，并关注漏洞更新
2. 更新所有账号密码，数据库和运营系统账号，不要让弱口令还存在
3. ReviewCode检查源代码中是否存在后门
4. 架构重新设计，不该放在公网的都不要放在公网，能不开放的端口就一个都不要开放，所有配置文件加密，并且加密解密代码防止反编译，屏蔽端口扫描，禁止内网服务探测
5. 及时关注关注各个软件安全更新，及时打补丁，学习安全相关技能
6. 富则神州绿盟，穷则免费云盾

来源：freebuf.com 2020-11-17 21:47:23 by: mandaren