“从子域名接管到RCE：优化渗透经验分享”

本文接触过作者的一次奇妙的实战经历，从子域名接管到上传Shell提权，将信息泄露漏洞和xss漏洞最终发展成rce。本文由当时存在语雀中的零散的渗透记录整理，由于该次渗透距今已经有一段时间，而且厂商要求保密，所以本文属于思路复现。下文中的域名、DNS解析记录、IP等信息均为作者自行注册或手动搭建的环境，努力做到还原当时的渗透场景。

0x01 数据泄露：从JS文件审计开始

授权拿到站以后，先是扫描一波，发现一个oa登录页面https://oa.website.com:9002

登录不需要验证，直接抓包尝试爆破，但是弱口令爆破了没出结果。于是打开F12准备审计JavaScript，但是edge的开发者工具不太好用，于是我自己写了一个python脚本把页面里的JavaScript文件爬取到本地指定目录中，在本地审计。

当我们把所有引用的JavaScript代码都保存到本地以后就可以愉快开始审计代码了，很快，我就发现一个API接口返回了敏感信息，就是下面的代码部分。

在cdn1.site.com这个域名下面引用了外部js和css文件，加载到页面当中，但是通过开发者工具捕获的网络流量可知，这两个文件都是红的没有成功加载。我看到注释里面的“Github CDN XXX.github.io”，我以为是GitHub网速的原因或者我DNS被污染了导致链接不到GitHub Pages服务器。

于是，我开了美国节点的代理，打算访问一下https://cdn1.site.com/js/index.js 再去审计信息泄露，结果发现无法连接到网站。

于是我查询了cdn1.site.com的解析记录，发现指向了XXX.github.io。我去搜索这个“XXX”这个用户名，但是在GitHub上搜不到，直接访问XXX.github.io也不行，我推测可能是这个账号已经注销掉了

然后打开GitHub Pages服务，将仓库部署到服务器上，显示“Your site is live at [https://XXX.github.io/js/]() ” ，在下面添加cdn1.site.com。