浅谈企业内部IT系统漏洞的挖掘(下)
字数 1551 2025-08-26 22:11:40
企业内部IT系统漏洞挖掘指南(下)
一、寻找企业内网域名
企业通常使用独立域名或二级域名来管理内部业务系统。常见的内网域名模式包括:
-
常见内网域名格式:
- abc-inc.com
- *.corp.abc.com
- *.intra.abc.com
- abc-corp.com
- abc-ltd.com
-
信息收集方法:
- 使用子域名爆破工具如subDomainBrute
- 重点从企业邮箱、VPN、OA等关键系统入手
二、识别和渗透业务系统
1. 单点登录系统(SSO/CAS)
常见域名:
- sso.corp.abc.com
- ssosv.corp.abc.com
- cas.corp.abc.com
- login.corp.abc.com
- bsso.corp.abc.com
Apereo CAS识别方法:
- 在redirect_uri参数中输入特殊字符触发错误
- 退出时显示"注销成功 您已经成功退出CAS系统,谢谢使用!出于安全考虑,请关闭您的浏览器。"
常见漏洞:
- 撞库爆破
- 任意URL跳转(通过logout?redirect_uri=xxxxx)
URL跳转参数fuzz列表:
- redirect_uri
- redirect
- service
- url
- redirect_to
- jump
- to
- link
- next
- oauth_callback
- callback
2. 企业邮箱系统
常见域名:
- webmail.(corp).abc.com
- email.(corp).abc.com
- mail.(corp).abc.com
识别方法:
- 观察URL中包含的路径:
/owa:Microsoft Exchange/zimbra:Zimbra/coremail:Coremail
- 跳转到网易/腾讯/阿里云企业邮箱页面表明使用了第三方服务
3. VPN系统
常见域名:
- vpn.corp.abc.com
- sslvpn.corp.abc.com
- proxy.corp.abc.com
- tunnel.corp.abc.com
主流VPN产品及识别特征:
| 厂商/产品 | URL特征 |
|---|---|
| Cisco ASA | +CSCOE+ |
| Pulse Secure/Juniper | dana-na |
| 深信服(Sangfor) | por/login_psw.csp |
| FortiGate | remote/login |
| GlobalProtect | global-protect/login.esp |
渗透方法:
- 使用已知CVE漏洞进行测试
- 常见漏洞类型:XSS、未授权访问、拒绝服务等
4. HR系统
常见域名:
- ehr.corp.abc.com
- hr.corp.abc.com
- myhr.corp.abc.com
- hrss.corp.abc.com
常见系统:
- Oracle PeopleSoft Enterprise HRMS(URL特征:psp/hrprd/?cmd=login)
三、渗透测试方法论
-
信息收集阶段:
- 使用子域名爆破工具
- 识别关键系统类型
- 收集系统版本信息
-
漏洞探测阶段:
- 针对识别出的系统类型测试已知漏洞
- 对认证系统尝试撞库和爆破
- 测试URL跳转等逻辑漏洞
-
漏洞利用阶段:
- 使用公开PoC验证漏洞
- 尝试权限提升
- 进行横向移动
四、防御建议
-
企业防御措施:
- 限制内网系统对外暴露
- 及时更新系统补丁
- 配置严格的访问控制
- 监控异常登录行为
-
开发安全建议:
- 对重定向参数进行严格校验
- 实现多因素认证
- 限制登录尝试频率
-
安全运维建议:
- 定期进行安全审计
- 监控公开漏洞情报
- 建立应急响应机制