从源码泄露到RCE的渗透测试实战教学<\/h1>

前言<\/h2>
本教学文档基于一次真实的众测项目渗透过程，展示了如何从发现源码泄露到最终实现远程代码执行(RCE)的完整攻击链。目标系统是一个多端入口系统(PC、APP、测试后台)，采用现代化技术栈构建。<\/p>

技术栈分析<\/h2>

前端框架<\/strong>: React (使用webpack打包)<\/li>
认证授权<\/strong>: JWT Token<\/li>
后端框架<\/strong>: SpringBoot + Spring MVC + MyBatis<\/li>
文件存储<\/strong>: 某云OSS<\/li>

部署方式<\/strong>: Docker容器化部署(微服务架构)<\/li> <\/ul>
渗透思路转变<\/h2>

识别第三方系统<\/strong>: 通过分析JS文件发现非目标域名的引用，确认系统由第三方公司开发<\/li>
信息收集<\/strong>: 针对第三方公司进行深入信息收集

GitHub搜索 "target.com"<\/code> 发现运维自动化脚本<\/li>
脚本中包含内网IP信息、配置信息(包括accesskey)<\/li>
发现使用第三方docker镜像服务存储镜像<\/li> <\/ul> <\/li> <\/ol> 关键攻击步骤<\/h2> 1. 获取Docker镜像<\/h3> 通过泄露的yaml配置获取镜像命名规则<\/li> 使用获取的账号密码登录第三方docker镜像服务<\/li> 通过命名碰撞拉取最新镜像: docker pull [镜像名]<\/code><\/li> 启动容器并提取源码: docker cp [容器ID]:\/path\/to\/src .\/local\/path<\/code><\/li> <\/ul> 2. 源码审计发现漏洞<\/h3> Fastjson RCE漏洞<\/h4> 发现项目中使用了存在漏洞的Fastjson版本<\/li> 定位Fastjson使用点: \/\/ 示例代码 <\/span><\/span><\/span><\/span>JSON.<\/span>parseObject<\/span>(<\/span>input,<\/span> Object.<\/span>class<\/span>,<\/span> Feature.<\/span>SupportNonPublicField<\/span>);<\/span> <\/span><\/span><\/code><\/pre><\/li> DNS探测验证漏洞: # 使用工具验证<\/span> <\/span><\/span>java -jar fastjson_rce_tool.jar http:\/\/target.com\/vuln-endpoint <\/span><\/span><\/code><\/pre><\/li> 成功获取root权限<\/li> <\/ul> JWT弱密钥问题<\/h4> 源码审计发现JWT签名密钥仅为6字符<\/li> 密钥与系统命名相关(如公司名缩写+数字)<\/li> 使用弱密钥伪造超级管理员token<\/li> <\/ul> XXE漏洞<\/h4> 发现未禁用外部实体引用的XML解析点<\/li> 可导致敏感文件读取或SSRF<\/li> <\/ul> 3. 其他发现<\/h3> 微服务配置信息泄露<\/li> 容器编排文件中的敏感信息<\/li> 内部API端点暴露<\/li> <\/ul> 防御建议<\/h2> 源码保护<\/strong>:<\/p> 避免将源码和配置文件提交到公开仓库<\/li> 使用.gitignore排除敏感文件<\/li> 定期检查GitHub等平台是否有信息泄露<\/li> <\/ul> <\/li> Docker安全<\/strong>:<\/p> 使用私有镜像仓库<\/li> 实施严格的访问控制<\/li> 定期轮换凭证<\/li> <\/ul> <\/li> Fastjson安全<\/strong>:<\/p> 升级到最新安全版本<\/li> 禁用危险特性: ParserConfig.getGlobalInstance().setSafeMode(true);<\/code><\/li> 使用白名单控制反序列化类<\/li> <\/ul> <\/li> JWT安全<\/strong>:<\/p> 使用足够强度的密钥(推荐32字符以上)<\/li> 定期轮换密钥<\/li> 实现token吊销机制<\/li> <\/ul> <\/li> XXE防护<\/strong>:<\/p> \/\/ 禁用外部实体 <\/span><\/span><\/span><\/span>DocumentBuilderFactory dbf =<\/span> DocumentBuilderFactory.<\/span>newInstance<\/span>();<\/span> <\/span><\/span>dbf.<\/span>setFeature<\/span>(<\/span>"http:\/\/xml.org\/sax\/features\/external-general-entities"<\/span>,<\/span> false<\/span>);<\/span> <\/span><\/span>dbf.<\/span>setFeature<\/span>(<\/span>"http:\/\/xml.org\/sax\/features\/external-parameter-entities"<\/span>,<\/span> false<\/span>);<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 工具推荐<\/h2> Fastjson RCE检测工具:<\/p> 紫霞仙子的fastjson_rce_tool<\/a><\/li> <\/ul> <\/li> JWT破解工具:<\/p> jwt-cracker<\/li> jwt_tool<\/li> <\/ul> <\/li> 源码泄露监控:<\/p> GitHound<\/li> truffleHog<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 本次渗透测试展示了从信息收集到RCE的完整链条，关键点在于:<\/p> 通过JS分析识别第三方系统<\/li> GitHub信息收集获取关键凭证<\/li> Docker镜像泄露源码<\/li> 源码审计发现多个高危漏洞<\/li> <\/ol> 对于现代化系统渗透，除了传统黑盒测试外，针对开发链条和第三方组件的审计往往能发现更严重的漏洞。<\/p>

从源码泄露到RCE的渗透测试实战教学<\/h1>

前言<\/h2> 本教学文档基于一次真实的众测项目渗透过程，展示了如何从发现源码泄露到最终实现远程代码执行(RCE)的完整攻击链。目标系统是一个多端入口系统(PC、APP、测试后台)，采用现代化技术栈构建。<\/p>

关键攻击步骤<\/h2>

2. 源码审计发现漏洞<\/h3>

前言<\/h2>
本教学文档基于一次真实的众测项目渗透过程，展示了如何从发现源码泄露到最终实现远程代码执行(RCE)的完整攻击链。目标系统是一个多端入口系统(PC、APP、测试后台)，采用现代化技术栈构建。<\/p>