2025-12-29 00:31:47 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文章提出“SaaS供应链”视角，用GoogleDork对ShowDoc、Replit、Notion、ProcessOn等公网托管平台的公开内容定向检索，可快速捡出密钥、源码、拓扑图等影子资产，绕过WAF/EDR实现无0day边界逃逸，给出多平台精准搜索语句与实战案例，可立即用于红队信息收集。 综合评分： 88 文章分类： 红队,内网渗透,威胁情报,WEB安全,实战经

cover_image

攻防演练中的“降维打击”：逃逸出内网边界的影子资产与SaaS供应链挖掘

原创

Pwn1

漏洞集萃

2025年12月3日 15:39 山东

免责声明 本公众号所发布的文章内容仅供学习与交流使用，禁止用于任何非法用途。

0x00 前言：坚固的堡垒与敞开的“侧窗”

众所周知在当今的红蓝对抗与实战攻防演练中，我们面对的是一个防御日益严密的对手。

传统的正面战场已经变得举步维艰：企业的边界防御如同铜墙铁壁——————目标方通过防火墙封锁了非必要端口，通过WAF 拦截了常见的Web攻击，而EDR又是7×24小时监控着终端的一举一动。除了这些，ASM系统还在日夜巡检着资产的变动。

那么此时，如果我们继续单一的执着于端口扫描或者说寄希望于暴力破解子域名等手段，不能说是“杀敌一千，自损八百”，但绝对可以说是收效甚微，有时刚发包就被蓝队封禁，轮换的代理池根本就不够用。

但是天无绝人之路。防御体系的最大漏洞，永远是“人”以及人所依赖的“工具链”。

随着这些年云原生和 DevOps 的普及，开发模式发生了根本性的变革。为了追求效率，数据也不会再静止于内网服务器，而是流转于各种第三方 SaaS 平台之间：

• 代码在 Replit 上运行调试；
• 接口文档在 ShowDoc 上实时同步；
• JSON 数据在 CodeBeautify 上格式化；
• UI 设计稿在 Figma 上协作；
• 项目进度在 Notion 上流转。

这些散落在公网 SaaS 平台上的数据，就一个一个的构成了企业的**“影子资产”**。这些位于第三方的资产游离于企业安全团队的视野之外，既没有 WAF 的保护，也缺乏访问控制的审计，却往往包含了最致命的核心机密——AK/SK 密钥、数据库连接串、管理员账号、甚至完整的后端源码。

那么，作为攻击者的我们，当无法正面攻破城门时，不妨抬头看看，那些忙碌的“建筑师”们，是否正打开着侧窗，将图纸和钥匙随手放在了窗台上？ ^_^

本文将跳出传统的 IP/Domain 资产收集视角，带你通过“SaaS 供应链检索”的方式，从互联网的各个角落拼凑出通往内网的密钥。

0x01 在线文档与知识库：被遗忘的“操作手册”

首先是文档系统，这一部分是国内环境下的重灾区，很多团队将这里作为“内网 Wiki”的公网替代品，却忘记了加锁或者直接将没有脱敏的内容直接搬了上来。

1. ShowDoc & 语雀 & 看云 (国内开发三剑客)

很多国内的中小型开发团队喜欢用这些平台托管 API 文档或运维手册。

• ShowDoc：通常会包含详细的接口定义，有的直接在示例中写死了测试用的 Token。
• 语雀 (Yuque)：阿里系工具，常被用于写技术规划、复盘文档，里面可能有网络拓扑图，虽然热度早已不如当年了，但还是不少人在用。
• 看云 (Kancloud)：ThinkPHP 生态常用，很多老项目的文档还留存着。

• Google Dorks:

  site:showdoc.com.cn "target.com"
  site:showdoc.com.cn "密码" "target"
  site:yuque.com "target.com"
  site:yuque.com "内部" "target"
  site:kancloud.cn "target.com"

  # Wolai (国内常用)
  site:wolai.com "目标公司"
  site:wolai.com "内部"

  # FlowUs (国内常用)
  site:flowus.cn "目标公司"
  site:flowus.cn "规划"

2. 公有云文档与 GitBook

列举完国内的一些saas，我们再来看看国外常用的一些文档工具。

• GitBook：很多开源项目或内部项目的说明书。
• Notion: 现在的创业团队极度依赖 Notion，里面几乎有公司的一切。
• Google Dorks:

  site:gitbook.io "target.com"
  site:notion.site "target.com" "password"
  site:notion.so "target.com" "credentials"

0x02 代码运行与辅助工具：开发者的“临时剪贴板”

除了项目完整运行时候的文档工具之外，还有一些临时的工具，比如在线的IDE、格式的美化工具等等小工具

1. 在线 IDE 与代码运行 (Online Compilers)

对于开发者而言：“我就跑个脚本测试下连通性，跑完就关。” -> 而实际事实层面是：代码留在了云端，被 Google 收录。

• 重点关注：config.py, db.js, env 等关键字。
• Google Dorks:

  site:replit.com "target.com"
  site:repl.it intext:"target.com"
  site:codesandbox.io intext:"target.com"
  site:stackblitz.com intext:"target.com"
  site:jsfiddle.net "target.com"
  site:codepen.io "target.com" (前端代码中常包含写死的 API URL)

2. 代码/数据格式化工具 (Formatters)

有时候开发者处理杂乱的 JSON 或 XML 时，会习惯性粘贴到这里，这些在线工具打开就能用，比使用本地化的工具方便了很多。

• Google Dorks:

  site:codebeautify.org "target.com"
  site:jsonformatter.org "target.com"
  site:paste.ofcode.org "target.com"

3. 正则表达式测试 (Regex Testers)

同样的道理，开发者有时为了测试正则匹配规则，开发者会粘贴真实的日志片段（包含 SessionID、内网 IP）。

• Google Dorks:

  site:regex101.com "target.com"
  site:regexr.com "target.com"

0x03 代码存储与文本分享：碎片化的回收站

1. 代码片段分享

老生常谈，但依然有效。

• Google Dorks:

  site:pastebin.com "target.com"
  site:gist.github.com "target.com"
  site:controlc.com "target.com"
  site:justpaste.it "target.com"
  site:notes.io "target.com"
  site:heypasteit.com "target.com"

2. 百度文库 & 道客巴巴

不过这一块相对来说可以或缺的信息比较少了，因为文库类工具在逐渐的衰减，更多人喜欢用相应的一些类似于yuque这类的工具。

• 场景：招标文件、验收报告、网络拓扑图 PPT。这些文档里往往有详细的内网 IP 分配和服务器列表。
• Google Dorks:

  site:wenku.baidu.com "target" "密码"
  site:doc88.com "target" "方案"

0x04 业务逻辑与架构：蓝图中的“上帝视角”

1. 在线作图与思维导图

ProcessOn 是国内最常用的在线作图工具。很多员工为了分享方便或者为了嵌入到其他文档中，会将作图设置为“公开”或者“推荐”。大家可以主要关注这几部分泄露内容**：网络拓扑图（直接暴露内网 IP 段）、组织架构图（暴露关键人员姓名）、业务流程图（暴露未公开的 API 逻辑）。

• Google Dorks ：

  # 查找特定目标的架构图/拓扑图
  site:processon.com "target"
  site:processon.com "target.com"

  # 查找可能包含敏感信息的通用图（结合关键字）
  site:processon.com "内网" "拓扑"
  site:processon.com "服务器" "密码"
  site:processon.com "数据库" "流程图"

还有一些其他的小众的工具也可以收集下

Coggle 很多开源项目或极客喜欢用，因为它支持 Markdown 风格。

site:coggle.it "target"
site:coggle.it "database"

0x05 接口调试与元数据：API 的“自白书”

1. Postman & Swagger

• Postman：这类的接口测试工具是API密钥泄露的重灾区，经常会把一些测试数据放出来。
• Swagger：不仅看接口，还要看 try it out 功能是否能直接未授权访问。（随缘了）
• Google Dorks:

  site:postman.com inurl:workspace "target"
  inurl:swagger-ui.html "target"

当然，也别漏了国内近似的应用

site:apifox.cn &nbsp;"token"

2. 威胁情报沙箱 (Sandbox)

• 微步在线 (X) / VirusTotal / Any.Run等工具
• 思路：搜索目标相关的样本。如果员工上传了内部使用的 APK 或 EXE 工具，你可以下载逆向。如果是文档，可以提取 Metadata。
• 搜索方式：直接在这些平台内搜域名或公司名。

在安全领域，“但凡走过必定留下痕迹”。当开发者为了便利，将代码、文档、设计稿托管在第三方 SaaS 平台的那一刻起，企业的防御边界实际上就已经被无限延伸了。对于攻击者而言，这些平台是不需要 0day 漏洞就能打开的“后门”；而对于防御者而言，这是一场关于“影子资产”治理的漫长战役。

希望本文提供的思路，能为你打开信息收集的新维度。

觉得本文内容对您有启发或帮助？点个关注➕，获取更多深度分析与前沿资讯！

👉 往期精选

【漏洞挖掘Tips】一种新的2FA 绕过方式

零点击账户劫持：一次 Web3 项目的 IDOR 实战

【漏洞挖掘Tips】模糊测试和绕过AWS WAF

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：漏洞集萃 Pwn1《攻防演练中的“降维打击”：逃逸出内网边界的影子资产与SaaS供应链挖掘》