文章总结: 本文复盘红队通过社工与供应链漏洞攻入金融办公网的完整路径:先钓鱼获取SaaS电子学习平台权限并提取员工信息,再针对员工实施水坑与鱼叉攻击进入办公网,最终利用CVE-2020-1472获取域控权限。建议强化社工技防人防、实施双因素认证、严格管控SaaS数据提供、限制非HTTP出网、采用域名IP双重校验、及时更新补丁并部署流量检测。 综合评分: 85 文章分类: 红队,渗透测试,内网渗透,社会工程学,供应链安全
攻击路径(9):SaaS供应链+社工,打入金融办公网
原创
罗锦海 罗锦海
OneMoreThink
2026年3月6日 00:06 广东
本文是攻防演练《红队技战术|记一次供应链+社工技术通关某金融演练单位》的复盘笔记,欢迎大家阅读原文。
完整攻击路径
安全防护建议
第一跳:通过社工攻击,获得SaaS供应链系统的应用权限;进一步通过漏洞攻击,获得其服务器权限和数据库权限,最终获得员工个人信息
经过简单的扫描踩点,发现该单位暴露面小,且系统都为自主研发,没有发现边界突破的入口点。并且边界存在waf防护,没有0day漏洞的情况下举步维艰。
针对收集到的web资产逐一分析,发现带有该单位logo的电子学习平台,但是资产在云上,不属于客户it资产。在没有找到其他登录口的情况下,只能以此为突破口进行尝试。
制作钓鱼页面,使用EmailAll收集目标邮箱,并批量发送100封钓鱼邮件。
经过了一晚上的等待,运气不错,终于等到了一人提交。
提高社工防范能力,技防方面要部署邮件网关、邮件沙箱、EDR、可疑邮件一键举报机制等,人防方面要开展安全意识培训、实战钓鱼演练等。
成功登录
暴露在互联网的系统,要使用双因素认证机制。
文件上传漏洞getshell,并通过cs上线。由于是一台云服务器,与实际内网不通,所以想着只能刷一些数据分。
供应链系统(包括SaasS版和本地版),要提供网络安全风险评估报告。
找到数据库配置文件,发现超2w+条该单位员工信息
基于上述信息可以得到该平台为第三方供应商提供的在线电子学习平台,所有员工会定期登录平台进行学习。加上我们基本获取了该单位所有员工的信息,可以进一步进行精准打击。
不要向SaaS供应链系统提供员工个人信息(如真实姓名、部门、联系方式等),尤其是联系方式(如电话、邮箱等)。
- 数据最小化提供:仅向SaaS供应链系统提供必要的信息,避免提供过多敏感数据。
- 数据脱敏提供:SaaS供应链系统在前端登录时,先将电话、邮箱等个人信息形式的账号信息,进行哈希处理后再传递到后端进行身份验证,后端服务器只存储个人信息的哈希值,避免员工个人信息暴露给SaaS供应链系统。
- 数据保护条款:与供应商签订合同,明确其保护员工数据的责任;明确供应商对数据泄露的责任和赔偿条款;要求供应商在发生数据泄露时立即通知公司采取风险缓解措施。
第二跳:通过社工攻击,获得员工的PC权限
所以下一步的思路:登录页面钓鱼攻击打个人办公pc进办公网!!
和裁判报备通过,钓鱼攻击走起!制作flash水坑,嵌入到网页。
这里遇到一个问题,很多金融单位会限制办公电脑上网,但是一般只会限制http,而很容易把dns给忽略,所以走cs dns上线可以尽量多的上线目标。
禁止上网或白名单上网的办公网,要禁止非HTTP协议出网(如DNS、ICMP等)。
- 在防火墙或网络设备上配置规则,限制办公电脑只能使用内部DNS服务器。
- 检测并阻断异常的DNS流量(如过长的域名、高频DNS查询、非常规DNS记录类型)。
将运维人员邮箱筛选出来进行鱼叉攻击,发送邮件告知其需要登录学习网站修改密码。如果点了“立即升级”并运行,电脑就立即上线。
很快,上线了一台pc,成功进入办公网
提高社工防范能力,技防方面要部署邮件网关、邮件沙箱、EDR、可疑邮件一键举报机制等,人防方面要开展安全意识培训、实战钓鱼演练等。
内部网络,要部署全流量检测、蜜罐等流量侧安全检测产品。
如果试过dns协议进行cs操作,延迟是非常之高的,正常的执行一条命令可能要等待1分钟,内网横向在这样的时间成本下基本冲不动。尝试上线http listener,但是失败了。。。
简单的信息收集后,发现使用了某安全厂商的ac上网设备,pc终端输入账号密码通过ac认证后可以访问互联网,而限制用户能否访问目标网站,一般都是通过配置http host头白名单来实现。
试了下公司官网,http可以正常访问,所以cs listener中配置host为公司官网域名,成功http上线。
白名单上网的办公网,要使用“域名+IP”双重校验机制。
- 除了Host头,还要结合网络层IP地址进行综合过滤,HTTP只允许访问通过DNS解析到的目标IP
内部网络,要部署全流量检测、蜜罐等流量侧安全检测产品。
第三跳:通过漏洞攻击,获得办公网的域控权限
接下来就是愉快的内网横向,扫到域控,与裁判报备后,使用CVE-2020-1472获取域控权限。
域控系统,要定期更新补丁、要定期开展网络安全风险评估并及时修复漏洞。
内部网络,要部署全流量检测、蜜罐等流量侧安全检测产品。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:OneMoreThink 罗锦海 罗锦海《攻击路径(9):SaaS供应链+社工,打入金融办公网》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
![[视频]UAC绕过2(已测试)](/images/random/titlepic/2.jpg)
评论