文章总结： 本文分享红队实战案例，通过旁站爆破复用密码获取入口，利用文件读取漏洞挖掘Tomcat日志与JS文件，提取AES密钥解密出大量SSO账号及敏感业务数据。后续在内网利用SSO账号登录飞书客户端绕过二次认证，获取K8stoken等核心信息，展示了文件读取漏洞从外网突破到内网横向的深度利用链路。 综合评分： 90 文章分类： 红队,内网渗透,数据泄露,实战经验,漏洞分析

批量提取然后解密后便可以拿到大量的SSO账户密码。

user dept email telNum loginNamtsUserID workNumber 工号加密密码
1234567890000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

继续分析日志，不乏有大量的敏感数据被记录在了日志里。

比如以下是实时更新的内部人员机票预定的详细敏感数据，猜测有可能是另一个应用的数据，该应用并没有看到机票预定的功能。

2024-01-15 14:43:50,904 INFO ManagerServiceImpl:114 - 调用web服务开始 {"data": 司", "Cos" [{"Airli 空", "Air" 17", "Arr" 17", "Dep" 场", "Dis" 昌", "Ori" 票", "YAm" 286899", 浪", "Ord" 理", "Ord" [{"Certi} 司", "Out: 14:43", "SalePrice 14:43", "TicketSe 23:40", "FlightNu 320", "SaleAmount 16:55", "FlightNu 737", "SaleAmount 13:20", "FlightNu 737", "SaleAmount":330.00}], }, "password": "00 5", "timeStamp":"202 8","msg Type":"TBOrderInfo"}

后续成果扩大化

在拿到大量的SSO账户后，我们便可以在内网去加以扩大化利用，尝试去登录confluence、mail等内容集权，但经过翻找，并没有发现更多有价值的敏感数据。

在内网继续尝试密码喷洒，最终成功喷洒出了一台Windows机器，并且发现该机器装有准入控制。

在这台机器上发现了定制版的飞书客户端，这里直接使用文件读取漏洞深入利用获取到的SSO统一认证账号去登录。

此时发现，登录飞书客户端不需要二次认证，网页登入SSO统一认证也不需要二次认证了！（猜测和准入控制有关系）

可以控制大量员工的飞书账户权限，（PS：后边在飞书文档里也发现了其开启了两个客户端可以同时在线的策略，不用担心挤掉）。

可以大胆进行信息收集和钓鱼了！

飞书文档里有大量的敏感信息，如账户密码、k8s token等等，可以进一步去获取重要权限和数据，接管大集权等。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0xSecurity vv7f vv7f《红队实战案例：从文件读取到百万数据泄露》