📡 资产测绘

新发现的36个子域名

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
autodiscover.lexin.com         → Exchange Autodiscover ✅
corp.lexin.com                 → Corporate portal (Nginx)
cres.lexin.com                 → CRES系统 (HTTP 500)
datashare.lexin.com            → 内部知识共享 (KABALA框架)
esign.lexin.com                → 电子签名
i.lexin.com                    → 未知服务 (Tengine 403)
ioss.lexin.com                 → 未知服务
leco.lexin.com                 → 乐空间-LeCo (OKR/项目管理)
mail.lexin.com                 → Exchange 2013邮件服务器
mdm.lexin.com                  → MDM系统
mihawk.lexin.com               → 米霍克决策引擎
mmba.lexin.com                 → 内部管理平台
mmsns.lexin.com                → 通知服务
oss-datashare.lexin.com        → 华为OSS存储
pre-esign.lexin.com            → 预发布电子签名
res.lexin.com                  → 静态资源CDN
seal.lexin.com                 → 电子签章
security.lexin.com             → 安全门户
special-web.lexin.com          → 特殊web服务
sslvpn.lexin.com               → SSL VPN入口
...
总计36个有效子域名(部分启用端口: 3000, 443, 8443, 9070)

🔴 漏洞总览

编号 目标 类型 危害评级
LX-001 mail.lexin.com Exchange 2013 CRITICAL EOL + 内部信息泄露 🔴 CRITICAL
LX-002 special-web.lexin.com URL注入/开放式iframe钓鱼 🟡 高危
LX-003 mihawk.lexin.com 源码映射文件泄露 (302KB) 🟡 高危
LX-004 autodiscover.lexin.com 指纹信息泄露 🔵 中危
LX-005 mail.lexin.com 多个Exchange端点全部可达(未经IIS/WAF过滤) 🔵 中危
LX-006 mihawk.lexin.com 内部API网关rc_oa_gateway暴露 🔵 中危

🔴 LX-001: Exchange 2013 CRITICAL EOL(停服邮件服务器)

严重性: CRITICAL ⚠️

描述: mail.lexin.com 运行 Exchange Server 2013 CU23 (build 15.0.1497.48)
Exchange 2013 已于 2023年4月11日 结束生命周期(EOL),该服务器至少已 3年未打安全补丁

同时通过 HTTP 响应头泄露了大量内部信息:

  • 内部 IP: 10.11.46.92
  • 内部域名: lexinfintech.com
  • 内部服务器: SZL-MAIL-02 / SZL-MAIL-07
  • IIS 版本: Microsoft-IIS/8.5 / ASP.NET 4.0.30319

复现步骤:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# 获取Exchange版本
curl -sk "https://autodiscover.lexin.com/autodiscover/autodiscover.xml" \
  -H "Content-Type: text/xml" \
  -d '<?xml version="1.0" encoding="utf-8"?>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/requestschema/2006">
<Request>
<EMailAddress>test@lexin.com</EMailAddress>
<AcceptableResponseSchema>http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a</AcceptableResponseSchema>
</Request>
</Autodiscover>' -v 2>&1 | grep -i "x-owa-version\|x-feserver\|x-calculatedbetarget"

# 响应头泄露:
# X-OWA-Version: 15.0.1497.48
# X-FEServer: SZL-MAIL-02
# X-CalculatedBETarget: szl-mail-07.lexinfintech.com

# 直接获取OWA信息
curl -sk -v "https://mail.lexin.com/" 2>&1 | grep -i "server"
# Server: Microsoft-IIS/8.5

已确认可达的Exchange端点:

路径 功能 状态码
/owa/ Outlook Web Access 403 (存在)
/ecp/ Exchange Control Panel 302 (存在)
/ews/exchange.asmx Exchange Web Services 401 (存在)
/Microsoft-Server-ActiveSync ActiveSync 401 (存在)
/rpc/ RPC over HTTP 401 (存在)
/autodiscover/ Autodiscover 200 (存在)

潜在CVE攻击面:

  • CVE-2021-26855 (ProxyLogon SSRF) — 影响Exchange 2013 CU19+
  • CVE-2021-34473 (ProxyShell) — 影响Exchange 2013 CU19+
  • CVE-2020-0688 — 静态验证密钥
  • CVE-2024-21410 — NTLM中继
  • CVE-2025-53786 — 混合部署权限提升(若连接Exchange Online)

修复建议:

  1. 立即将Exchange 2013迁移至受支持版本(Exchange 2019 CU14+ 或 Exchange SE)
  2. 移除不需要的端点暴露或将OWA/ECP置于VPN之后
  3. 过滤响应头中的内部信息(X-OWA-Version, X-FEServer等)
  4. 启用Windows Extended Protection

🟡 LX-002: special-web.lexin.com URL注入/开放式iframe

严重性: 高危

描述: special-web.lexin.com 存在URL注入漏洞。页面接收 ?url= 参数并在iframe中加载任意URL,可用于钓鱼攻击。

复现步骤:

1
2
3
4
# 直接访问可见URL注入
curl -sk "https://special-web.lexin.com/?url=https://example.com"

# 页面源代码显示iframe加载外部URL

利用方式:

1
2
构造恶意链接: https://special-web.lexin.com/?url=https://evil-phishing-page.com
用户在合法lexin.com域名下看到钓鱼内容

修复建议:

  1. url 参数进行白名单验证,仅允许加载可信域名
  2. 添加Referer验证限制外部引用
  3. 移除iframe加载功能或用服务器端代理替代

🟡 LX-003: mihawk.lexin.com 源码映射泄露(302KB)

严重性: 高危

描述: mihawk.lexin.com (米霍克决策引擎) 的 source map 文件完全公开可下载,包含完整的 Vue.js 源码,暴露出内部 API 路径和业务逻辑。

复现步骤:

1
2
3
4
5
6
7
8
# 下载source map
curl -sk "https://mihawk.lexin.com/index.js.map" -o /tmp/index.js.map
ls -la /tmp/index.js.map
# → 302KB (302349 bytes)

# 提取关键信息
grep -o '"rc_[^"]*"' /tmp/index.js.map | sort -u | head -30
# 发现内部API网关路径

源码泄露的关键信息:

  • 内部API网关: rc_oa_gateway
  • 前端监控接口: /rc_oa_gateway/frontend/report.json
  • 会话超时码: NO_LOGIN_CODE, 16051006, 16510008
  • 内部页面路由: /var/middle_variable, /var/reason_code, /lab/ab_list
  • 商户管理、特征管理、模型管理等管理功能
  • 权限指令系统详细实现

API网关验证:

1
2
curl -sk -o /dev/null -w "%{http_code}" "https://mihawk.lexin.com/rc_oa_gateway/"
# → 200 (完全可达)

修复建议:

  1. 生产环境彻底移除 .map 文件
  2. 配置Nginx禁止访问 *.map 文件
  3. 对内部API网关添加认证

🔵 LX-004 — LX-006: 其他发现

编号 目标 详情
LX-004 autodiscover.lexin.com 响应头暴露X-OWA-Version、X-FEServer、X-CalculatedBETarget
LX-005 mail.lexin.com 所有Exchange端点未受WAF保护(原始IIS 8.5)
LX-006 mihawk.lexin.com rc_oa_gateway内部API网关所有子路径返回200

其他资产信息:

  • oss-datashare.lexin.com: 华为OSS存储服务器 huawei-security-oss-35-179
  • datashare.lexin.com: KABALA框架内部知识平台
  • sslvpn.lexin.com: SSL VPN入口(robots.txt禁止索引)
  • leco.lexin.com: 乐空间OKR/项目管理平台(Single Page App)
  • res.lexin.com: 静态CDN资源服务器

🎯 方法论参考

本次渗透以 RicheeAI 的 No Auth + 0.0.0.0 = RCE 思路为指导:

  1. 寻找公网暴露的未授权服务 → mail.lexin.com 的 Exchange 端点全部可达
  2. 分析源码获取内部API → mihawk.lexin.com 的 source map 泄露 API 网关
  3. 无需权限的参数操作 → special-web.lexin.com 的 iframe URL 注入

📋 待继续

  • 深入测试 Exchange ProxyLogon / ProxyShell 等已知CVE
  • 通过 source map 完整逆向 mihawk API 结构
  • 字典爆破更多 lexin.com 子域名(3字符+数字组合)
  • 测试 rc_oa_gateway 是否有未授权接口
  • 针对 lexinfintech.com 新域名展开探测

报告生成时间: 2026-05-09 11:09 CST
发布者: wakedate (SecurityViya)