本文结构如下

一 前言二 浅谈信息搜集  2.1 外网    2.1.1 SSL证书搜索    2.1.2 ICON图标搜索    2.1.3 ICP备案查询    2.1.4 github上找泄露的配置密码    2.1.5 hubter上去找邮箱的命名规则    2.1.6 供应商查找    2.1.7 网盘查询    2.1.8 指纹信息    2.1.9 邮件内容    2.1.10 其他一些常规操作  2.2 内网    2.2.1 本机常规信息    2.2.2 各类配置文档和文本信息    2.2.3 浏览器和三方工具的存储信息三 实战运用  3.1 案例1——招标平台二级跳  3.2 案例2——爱企查隐藏的惊喜  3.3 案例3——邮箱爆破到内网  3.4 案例4——不靠系统漏洞，从外网获取域控四 总结

一 前言

我们在外网进行打点的时候，会发现现在的网站防护都很高，很难找到直接利用的漏洞。因此我们会将更多的精力放在企业邮箱，vpn以及供应商上，要突破这些，要么钓鱼要么爆破。信息搜集越丰富就越能为我们的爆破，钓鱼甚至猜密码提供巨大帮助。

来公司这段时间，在各位大佬的带领下做了很多攻防项目，让我见识了各种牛逼的思路和骚操作。尤其是信息搜集和密码猜解的结合利用，使我在项目中进步神速。

这里就把我自己的一些关于信息搜集和密码结合的心得和案例分享给大家，欢迎一起讨论。

二 浅谈信息搜集

由于我们做的是攻防项目，目标一般就给个公司名称，常规的端口，c段，目录，子域名等等大家都会，我这边抛砖引玉，说下我自己的搜集方法，希望有更多的大佬出来分享。

2.1 外网

2.1.1 SSL证书搜索

一般企业资产使用ssl证书的公司名的一级域名都是一致的，所以可以通过找ssl证书的方式找同一个公司资产。

通过浏览器访问公司主页，点下浏览器这个锁。

然后选择连接是安全的-》证书有效。

可以看到证书的具体信息，一般就拿着这个信息去fofa查了。

丢到fofa里面去，fofa语法是

cert=”*.syclover.com”

然后点开Certificate，还有更多关键字给你搜索。

2.1.2 ICON图标搜索

思路跟ssl证书一样，具有相同icon图标的网站，说明他们是同一目标资产。

一般icon文件在根目录的/favicon.ico，也可以查看源代码看看head标签里面icon的地址。

存储icon图片

拖到fofa的icon处搜索(需要fofa高级会员，不过这年头谁又不是呢)。

除了fofa外，还可以用360quake来搜索。

360quake的好处就是分得很细并且更简化了使用者的操作。

搜索后会直接有相关icon和c段查询选项，对于资产搜集更快捷方便。

2.1.3 ICP备案查询

思路还是与上面相同，不过这个icp备案查询fofa和360似乎都不支持。这个可以用奇安信的搜索引擎，https://hunter.qianxin.com/，只是奇安信这个暂时没开启充值，用一会儿就没额度了。

2.1.4 github上找泄漏的配置密码

有很多程序员喜欢把github当代码仓库，这就给了我们可趁之机。

语法：seclover.com password in:file(需要登陆github)

搜出的结果按时间排序，尽量看.py，.config,.properties后缀的文件，时间超过半年的都可能会失效。

比如简单查个某目标。

2.1.5 hunter上去找邮箱的命名规则

使用hunter.io查找企业邮箱可以获取命名规则，这样后续爆破邮箱很方便。

2.1.6 供应商查找

一些大型央企，比如很多大企业都有自己的招标平台，我们去招标平台公示处看看有哪些供应商中标了。这些公司可以作为供应链攻击的首选。

当然不是说随便哪个供应商就去搞的，比如用了某杀毒软件，那不可能要把某安全公司给搞了。拿到供应商名单后，去简单摸下信息，尽量找中型企业，有自己的线下服务器非云服务器。

还可以查看登陆页面下面的技术支持。

url路径暴露供应商信息。

2.1.7 网盘查询

网盘查询我主要用优聚搜https://ujuso.com/#/和凌风云https://www.lingfengyun.com/，还有其他的网盘工具，主要就是查看是否网盘中存有目标的敏感文件。

2.1.8 指纹信息

在线可以用云悉来对cms进行指纹识别。对于资产较多的企业，可以把fofa，goby，oneforall等结果保存，使用棱洞ehole来离线识别。尽快提取shiro,weblogic,泛薇，致远等容易直接rce的资产出来。

棱洞地址：https://github.com/EdgeSecurityTeam/EHole

2.1.9 邮件内容

当我们获取一个邮箱时候，第一步首先导出通讯录，后续爆破出更多邮箱账号。然后就是在邮箱中搜索各种关键字，密码、password、VPN等等。

查看邮件头中的源ip，定位邮箱服务器位置。

多花时间细看邮件内容，垃圾箱里面的附件也不要错过。

这里还有个小技巧，当你获取对方邮箱密码的时候，登陆提示你密码过期修改密码，或者短信验证的时候，可以试试不要用web网页，下个手机客户端或者电脑客户端，通过客户端登陆能绕过这些验证。

2.1.10 其他一些常规操作

app反编译后查询域名和ip，微信公众号接口，小程序抓包查看请求主机，天眼查之类的查看公司关系寻找子公司，google语法查找未授权的代码仓库，不要忘记还有之前互联网公开的泄露数据的使用。

2.2 内网

现在大家进到内网的普遍操作就是掏出fscan一把梭，除了fscan外，还可以注意更多的信息收集。在内网中，密码显得尤其重要。四叶草著名神秘高人就曾说过：“对于企业来说，任何一个密码都是有用的，谁掌控了更多的密码，谁就掌控了内网！”

2.2.1 本机常规信息

这里主要就是用windows和linux自带的命令搜集，主要有：本地密码读取，域内ntdis.dit读取，本地网络连接记录，arp/dns缓存记录，rdp/ssh的连接记录，hosts文件，各用户的历史命令等等。这些命令网上太多就不赘述了。

2.2.2 各类配置文档和文本信息

这里主要就是找web网站数据库配置文件中的密码，Web.config,config,php,*.properties等等文件。翻看运维脚本文件，比如.ps1,.py,.bat等，去找里面可能存在的密码。

不要错过任何文本内容，尤其是desktop上的，很多工作人员喜欢把密码记在txt中然后丢到桌面上。

2.2.3 浏览器和三方工具的存储信息

服务器在应用中少不了三方管理工具，比如xshell，securecrt，navicat之类。而这些工具如果在使用的时候设定了保存密码，那么是有办法去破解的。

浏览器也是一样，浏览器自动保存密码可以使用工具导出。

https://github.com/moonD4rk/HackBrowserData

数据库navicat也有解密的工具。

https://github.com/HyperSine/how-does-navicat-encrypt-password

xshell的解密工具

https://github.com/dzxs/Xdecrypt

其他的网上都有，没有现成工具也有解密原理。

三 实战运用

这里分享的案例主要是体现信息搜集和密码利用的思路，过程因为篇幅有较大缩减。

3.1 案例1–招标平台二级跳

某央企项目，在其招标采购网进行联系人搜索，找到一个供应商邮箱。

通过之前互联网公开的泄露数据查询该联系人电话，查出密码成功撞进邮箱。在该邮箱中发现了目标单位采购部人员联系方式。

继续使用之前互联网公开的泄露数据查，运气好又成功了，这样实现了从招标平台到企业邮箱的二级跳。

翻看附件，通过一系列搜索找到一处页面。

下载app然后反编译找到地址最后获取shell。

3.2 案例2–爱企查隐藏的惊喜

某HW项目，找到oa页面。一开始拿exp打没有效果（后来发现是exp弄错了，尴尬），短暂陷入僵局。

以前的我遇到这种exp打不进去就会直接放弃，现在不同了，我会简单尝试猜一下弱口令，碰下运气。用户去哪儿找呢？我将目光放到了爱企查。在页面中查到公司主要人物，我打算每个人都试一下，密码就是123456，111111，全拼+123456，全拼@123456之类的。

结果运气还真来了，试到第二个就进去了。

进了oa，权限还挺大，所以后续波澜不惊正常操作，泛薇exp也成功利用，基本上打穿了。但是还差一台比较重要的服务器。

当时情况是这样，通过抓取获得两个通用密码：

administrator/456rty$%^20170106

administrator/123qwe!@#_fwq

这两个密码基本上通杀内网里面的服务器，路径分刷的差不多了。但是还有一台重要服务器不能用，这时候就只有硬猜了。

这两个密码规律都是跟键盘有关，后续跟的内容跟时间和公司有一定联系。所以排列组合一下最终猜出了正确答案：administrator/456rty$%^

3.3 案例3–邮箱爆破到内网

国内某知名上市软件企业攻防项目。这个项目严格来说是看大佬操作，正是这个项目学到了邮箱爆破的思路。

信息搜集一番后，虽然目标资产很多，但是没找到啥突破口，毕竟目标也是it公司，对安全这块也很重视。还好运气不错，在领导给的联系人中通过之前互联网公开的泄露数据找到一个密码，登上了邮箱。不过该人员属于业务部门，邮件中没有什么对我们有价值的内容。怎么办呢？当然第一步先把通讯录导出来，导出来后，大佬一波突突，顺利找到多个账号，爆破原理就是通过对姓名声母韵母的拆分，外加123，12345等常见后缀形成的弱口令，结果如下

登录这些新账号，慢慢搜索，最终另外一位大佬找到一处隐秘地址存在shiro漏洞，进了内网，后续一路靠着搜集来的密码和key控制了云主机管理平台。

3.4 案例4–不靠系统漏洞，从外网获取域控

国内某上市网络服务提供商攻防项目，客户提供了ip地址，不准钓鱼。先是照着上面信息搜集的方式，在github上先有了收获。

登录了后发现这个邮箱是个海外的客服邮箱，当客户请求密码重置的时候这个邮箱可以发送重置链接，所以理论上可以获得任意客户的账号。

只是这个邮箱对应的域名和其网站提供的服务属于对外业务，跟我们初始目标有一定差距，确定方向偏了后就没再深入挖掘。

接下来是扫描客户给的自用ip段。

找到一个站点，在邮件通知处发现泄漏的账户和密码。用f12查看隐藏的密码。

登陆邮箱成功，邮箱中发现vpn地址（办公区域）。

邮箱垃圾箱中发现邮箱每天接收的routerOS的配置文件备份，其中有其他vpn的连接密码(生产区域)。

登陆第一个办公区域的vpn后才能登陆第二个生产区域vpn。此后攻击链分成两路，分别对生产区域和办公区域进行渗透。

后面操作就是上述提到的，对每个内网主机的文件都不放过。

在生产区域内，在某一台运维机上，发现运维脚本，上面有域控账号的密码，但是上面的密码过期了。

这是今年1月份的密码，尝试之后发现失败。但是结合原本密码猜测，如果要改就是把xxx@2013;1改成xxx@2013;2，以此类推，按半年改一次的话，现在7月，不是2就是3，尝试连接成功,密码是xxx@2013;3。至此生产环境域控权限拿下。

转战办公环境，虽然通过单点登陆进入了很多内部系统，但是系统中没有漏洞，办公内网个人机防护也到位，始终无法获取shell。

这里因为缺乏经验卡了很久，幸好在神秘高人的帮助下，然后内网所有信息都全部集齐生成了密码本，成功爆破zabbix服务进入后台。

有了zabbix的后台，直接提升一个普通账户为域管，后续波澜不惊的拿下生产环境。

四 总结

信息搜集始终是最重要的。这篇文章谈了谈信息搜集和密码利用的思路，但是这类思路不是万能的，很多时候需要运气，成功率也不高，只是给大家在没有突破的时候提供一点启发，更多还是要靠自己打牢自己的基础去找漏洞。