[攻防实战]外网突破
字数 1718 2025-08-06 08:35:06

外网突破实战技术手册

1. 供应链攻击技术

1.1 Heapdump泄露利用

  • 发现方法:扫描供应商资产admin目录下是否存在heapdump文件
  • 利用价值:可获取大量敏感信息,包括密码、配置等,特定情况下可直接RCE
  • 典型发现
    • MinIO登录凭证 → 获取目标单位敏感信息
    • Nacos配置信息 → 扩展密码本
    • OSS访问凭证 → 获取大量业务数据

1.2 微信小程序接口未授权访问

1.2.1 小程序逆向工程

  • 获取wxapkg文件路径

    • iOS: /var/mobile/Containers/Data/Application/{UUID}/Library/WechatPrivate/{user哈希}/WeApp/LocalCache/release/{AppID}
    • Android: /data/data/com.tencent.mm/MicroMsg/{user哈希}/appbrand/pkg/
    • Windows: C:\Users\{用户名}\Documents\WeChat Files\Applet\{AppID}\

  • 解密工具

  • 解包工具

    • 国光大佬工具包:node wuWxapkg.js 1.wxapkg

1.2.2 接口利用

  • 从解包后的JS代码中提取API接口
  • 直接访问接口可能绕过前端验证获取敏感数据

1.3 Web程序越权漏洞

  • 利用流程
    1. 使用收集的密码进行撞库获取低权限账号
    2. 拦截组织架构查询请求,删除parentIdorgLevel参数实现越权
    3. 通过修改密码接口添加roleId提升权限

1.4 公众号安全

  • JS文件泄露密码 → 用于撞库公众号管理后台

2. 云原生安全突破

2.1 Harbor镜像仓库利用

  • Public镜像下载:Harbor允许任意用户下载public镜像
  • 批量下载脚本:可编写脚本自动化下载所有公开镜像

2.2 镜像分析

  • 从镜像中提取jar包和配置文件
  • 反编译class文件进行代码审计
  • 发现后门:某些接口仅需用户名即可登录系统

2.3 Docker未授权访问

2.3.1 Registry API未授权

2.3.2 Remote API未授权

  • 检测docker -H tcp://<target>:2375 ps -a
  • 容器逃逸
    docker -H tcp://<target>:2375 run -it -v /:/mnt nginx:latest /bin/bash
echo '反弹shell命令' >> /mnt/var/spool/cron/crontabs/root

2.4 Nacos配置中心

  • 未授权漏洞

    • 用户枚举:/nacos/v1/auth/users?pageNo=1&pageSize=1
    • 用户添加:POST /nacos/v1/auth/users
    • 密码修改:PUT /nacos/v1/auth/users?accessToken=

  • Jasypt加密破解

    • 在配置文件中查找加密密钥jasypt.encryptor.password
    • 使用Java代码解密: 
      BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
textEncryptor.setPassword("加密密钥");
String decryptedText = textEncryptor.decrypt("加密文本");

3. Nday漏洞利用

3.1 用友NC jsInvoke RCE

  • 利用方法:通过Java反射调用LDAP服务执行命令
  • 绕过杀软
    echo base64马 > file.jsp
certutil -decode file.jsp decoded.jsp

3.2 若依系统漏洞

  • 信息泄露:获取用户名列表
  • 弱口令爆破:进入后台
  • 权限提升:猜解高权限账号密码
  • 命令执行:通过定时任务功能

3.3 Shiro反序列化

  • 检测方法:扫描默认密钥
  • 利用要点:即使有统一认证跳转,仍可能存在shiro漏洞

防御建议

  1. 供应链安全

    • 定期审计供应商系统安全性
    • 监控heapdump等敏感文件泄露
    • 小程序接口实施严格权限控制

  2. 云原生安全

    • Harbor配置严格的访问控制
    • Docker API实施认证和网络隔离
    • Nacos配置中心加密密钥与代码分离

  3. 漏洞管理

    • 及时更新用友NC、若依等常见系统
    • 禁用Shiro默认密钥
    • 实施Web应用防火墙规则

  4. 监控措施

    • 日志分析异常访问模式
    • 监控容器逃逸行为
    • 敏感操作二次认证

本手册详细记录了从外网突破的多种实战技术路径,安全团队应针对这些攻击面加强防御措施。

外网突破实战技术手册 1. 供应链攻击技术 1.1 Heapdump泄露利用 发现方法 :扫描供应商资产admin目录下是否存在heapdump文件 利用价值 :可获取大量敏感信息,包括密码、配置等,特定情况下可直接RCE 典型发现 : MinIO登录凭证 → 获取目标单位敏感信息 Nacos配置信息 → 扩展密码本 OSS访问凭证 → 获取大量业务数据 1.2 微信小程序接口未授权访问 1.2.1 小程序逆向工程 获取wxapkg文件路径 : iOS: /var/mobile/Containers/Data/Application/{UUID}/Library/WechatPrivate/{user哈希}/WeApp/LocalCache/release/{AppID} Android: /data/data/com.tencent.mm/MicroMsg/{user哈希}/appbrand/pkg/ Windows: C:\Users\{用户名}\Documents\WeChat Files\Applet\{AppID}\ 解密工具 : pc_ wxapkg_ decrypt_ python pc_ wxapkg_ decrypt 解包工具 : 国光大佬工具包: node wuWxapkg.js 1.wxapkg 1.2.2 接口利用 从解包后的JS代码中提取API接口 直接访问接口可能绕过前端验证获取敏感数据 1.3 Web程序越权漏洞 利用流程 : 使用收集的密码进行撞库获取低权限账号 拦截组织架构查询请求,删除 parentId 和 orgLevel 参数实现越权 通过修改密码接口添加 roleId 提升权限 1.4 公众号安全 JS文件泄露密码 → 用于撞库公众号管理后台 2. 云原生安全突破 2.1 Harbor镜像仓库利用 Public镜像下载 :Harbor允许任意用户下载public镜像 批量下载脚本 :可编写脚本自动化下载所有公开镜像 2.2 镜像分析 从镜像中提取jar包和配置文件 反编译class文件进行代码审计 发现后门 :某些接口仅需用户名即可登录系统 2.3 Docker未授权访问 2.3.1 Registry API未授权 检测方法 :访问 /v2/_catalog 接口 利用工具 : docker_ v2_ catalog 2.3.2 Remote API未授权 检测 : docker -H tcp://<target>:2375 ps -a 容器逃逸 : 2.4 Nacos配置中心 未授权漏洞 : 用户枚举: /nacos/v1/auth/users?pageNo=1&pageSize=1 用户添加:POST /nacos/v1/auth/users 密码修改:PUT /nacos/v1/auth/users?accessToken= Jasypt加密破解 : 在配置文件中查找加密密钥 jasypt.encryptor.password 使用Java代码解密: 3. Nday漏洞利用 3.1 用友NC jsInvoke RCE 利用方法 :通过Java反射调用LDAP服务执行命令 绕过杀软 : 3.2 若依系统漏洞 信息泄露 :获取用户名列表 弱口令爆破 :进入后台 权限提升 :猜解高权限账号密码 命令执行 :通过定时任务功能 3.3 Shiro反序列化 检测方法 :扫描默认密钥 利用要点 :即使有统一认证跳转,仍可能存在shiro漏洞 防御建议 供应链安全 : 定期审计供应商系统安全性 监控heapdump等敏感文件泄露 小程序接口实施严格权限控制 云原生安全 : Harbor配置严格的访问控制 Docker API实施认证和网络隔离 Nacos配置中心加密密钥与代码分离 漏洞管理 : 及时更新用友NC、若依等常见系统 禁用Shiro默认密钥 实施Web应用防火墙规则 监控措施 : 日志分析异常访问模式 监控容器逃逸行为 敏感操作二次认证 本手册详细记录了从外网突破的多种实战技术路径,安全团队应针对这些攻击面加强防御措施。