EDU供应链渗透实战：从源码获取到敏感信息泄露

EDU供应链渗透实战：从源码获取到敏感信息泄露 声明 本教学文档所有内容仅供学习交流，严禁用于商业用途和非法用途，否则由此产生的一切后果均与使用者无关。 前言 本文记录了一次针对EDU系统的供应链渗透过程，从获取安装包到发现大量AKSK、TOKEN泄露的完整路径。通过分析安装包获取网站源码，进而审计代码发现多处敏感信息泄露。 1. 源码获取 1.1 获取安装包 直接访问目标学校使用该系统的官网 下载exe安装包 1.2 安装分析 安装成功后会在D盘存储网站源码、配置文件等信息 检查是否存在db、sql文件 发现某sql文件包含用户信息但无密码 尝试使用这些用户名登录网站，但无弱口令可用 2. 敏感信息泄露审计 2.1 AKSK泄露 系统为Java代码搭建 直接审计源码中的配置文件 发现三个AKSK（Access Key和Secret Key） 其中两个可成功登录 一个无法登录 2.2 Druid弱口令 在配置文件中发现Druid监控的账号密码泄露 网站部署在二级目录下，增加了目录扫描难度 成功登录Druid监控界面 2.3 Secret泄露 审计代码发现企业微信的id和secret值泄露 使用企业微信API接口生成token成功 获取企业微信API域名IP段 成功获取部门列表 表明该token具有较高权限 还发现公众号的id和secret泄露，同样可用 3. 供应链系统渗透 3.1 供应链系统发现 通过代码审计发现IP相关信息 推测为供应链系统 3.2 弱口令利用 使用代码中发现的弱口令成功登录后台 使用相同凭证成功登录Redis服务器 造成较大范围的危害扩散 4. 关键点总结 安装包分析 ：许多系统安装包会附带源码或配置文件，这是重要的信息源 配置文件审计 ：Java应用的配置文件中常包含敏感信息 中间件弱口令 ：Druid等监控界面弱口令是常见漏洞 API凭证泄露 ：AKSK、企业微信/公众号凭证泄露可能导致严重危害 供应链风险 ：通过一个系统的漏洞可能影响关联系统 5. 防御建议 安装包不应包含源码和敏感配置 生产环境配置文件必须脱敏 监控界面必须使用强密码或IP白名单 API凭证应定期轮换并严格控制权限 不同系统间不应共享凭证 实施最小权限原则 6. 法律与道德提醒 本案例仅用于教育目的，实际操作中必须: 获得明确授权 遵守相关法律法规 发现漏洞后应遵循负责任的披露流程 不得利用漏洞获取未经授权的数据或进行破坏