GitHub泄露(Github信息收集):企业安全的第一道防线
前言在渗透测试、SRC 漏洞挖掘与护网攻防演练的流程里信息收集永远是最前置、也最关键的一环情报搜集的深度直接决定后续攻击面的大小。很多企业会忽略代码托管平台带来的泄露风险开发人员在日常迭代、本地调试、项目开源备份时常会随手将配置文件、接口代码、密钥凭证一并上传至 GitHub各类账号密码、数据库连接信息、内网地址、未公开业务接口、测试后台等敏感内容随之暴露在公网。一、Github信息收集有些开发人员将代码上传到代码库的时候有可能连一些重要的配置信息也上传了埋藏着一些安全隐患侧面有利于扩大了攻击者、渗透人员对目标的攻击面。// 具体搜索技巧请参考Github黑客搜索技巧.pdf// 这里贴实战案例目标xx云已知主域名xxxcloud.comGithub信息收集的意义测试账号/密码数据库外连地址、账号、密码等测试环境、其他未公开的资产域名、真实ip未上线的应用程序代码…二、Github信息收集案例攻防演练及SRC漏洞挖掘中皆可适用…案例一SRC漏洞挖掘案例获取账号密码 ——搜索关键字符Code显示有2k个记录如果觉得一个一个看下来比较繁琐可以根据语言来进行筛选、我这里限定的是java返回的记录是75条因为记录不多我就一个一个的过了然后发现了一个登录地址、账号、密码验证链接是否能打开账号密码是否有效至此喜提一个弱口令2、后台越权请求的请求包是// 用于统计发送短信数量的请求遍历参数 accountIt发现存在越权这里我只遍历了部分accountIt其中total是历史发送消息总数2019-11-01,2020-03-15修改起始时间发现有5k条短信页面上点击导出记录此时的请求这里我直接修改accountId为6851时间2010-11-01,2020-11-15可越权导出他人记录返回文件下载链接该文件泄露了商家账号以及店铺顾客手机号。可以遍历商家id、下载商家发送短信记录以及店铺顾客个人信息手机号其中有个商家近十年内发送了76w条短信...因此此越权可获取全站商家账号顾客手机号案例二攻防案例之获取某系统链接语法”域名”关键字password||name||login等如xxxx.com login攻防案例之获取数据库权限语法“域名”关键字db_name|| db_pass|| mysql||jdbc.url||jdbc.password||redis等如xxxx.com jdbc.password然后该站点还开放了web服务admin/admin数据库弱口令web应用弱口令….…所以在常规信息收集上没有什么突破的话倒是可以这样子尝试一下多种方式多条路总是好的总结1、测试价值高常规扫描无果时域名搭配密码、数据库等关键词检索快速获取各类系统凭证拓展攻击面。2、风险连锁叠加泄露凭证可登录后台接口无权限校验会越权窃取海量用户隐私数据库配置泄露可完全接管业务系统。3、泄露源于开发疏漏硬编码密钥、未过滤配置、私仓存放企业代码、混用生产配置缺乏自查流程。4、渗透实操要点按语言筛选代码验证泄露账号有效性深挖越权、批量导出等衍生漏洞。5、企业防护手段规范代码开发与提交过滤搭建 GitHub 泄露实时监控严控代码存放规范开展安全培训。