供应链攻击的战略价值

在网络安全攻防的对抗中，攻击者的战术重心正逐步向生态链的薄弱环节转移。当企业将防御资源集中于Fortinet、Cisco等头部厂商产品时，攻击者已悄然将目光投向供应链中的中小型服务商的产品系统。供应链攻击的本质在于利用生态信任链的天然脆弱性，通过控制单一节点实现对数倍目标的间接渗透。这种攻击模式不仅规避了传统防御体系的检测，更以极低的成本撬动规模化攻击收益，成为现代网络战中的高效战术。

供应链攻击的收益模型

供应链攻击的价值可归纳为以下核心维度：

1. 数据杠杆效应 通过攻陷供应链节点，攻击者可获取其服务客户的高价值数据（如用户隐私、商业机密、技术文档），为后续精准攻击提供情报支持。
2. 权限扩散路径 利用供应链厂商的信任关系（如软件更新、运维通道），攻击者可横向渗透至客户内网，甚至通过权限升级获取系统控制权。典型案例包括通过恶意更新包植入后门，或劫持开发工具链实现供应链投毒。
3. 隐蔽性与持续性 供应链攻击的潜伏期通常远超常规入侵手段。例如，某食品行业设备固件漏洞在被发现前已潜伏3年，导致全球37家医院的核心系统遭控。

目标筛选方法论：低成本高收益的实现路径

攻击目标评估

供应链产品的筛选需基于成本-价值比最优原则，例：重点关注以下指标（部分参考）：

技术实施路径

资产测绘与情报收集

利用FOFA等网络空间测绘工具，通过以下策略锁定目标：

• 特征指纹匹配：基于Body字段、JS文件哈希、图标哈希（如icon_hash="-247388890"）精准识别特定系统。
• 供应链关联检索聚类：结合招标信息与客户案例，构建语法组合（如title="电力监控系统" && country="CN"）定位目标客户群。

通过资产分析得到供应商清单

• 利用上一步整理的资产，分析产品锁定对应供应商
• 根据外部公开采购信息，开源情报等梳理供应商

资产特征溯源：
1. 63%的资产JS文件包含`/static/js/vendor.xxx科技.min.js`
2. 89%的系统登录页包含`<me ta name="generator" content="xxxx v2.3">`
3. 招标平台匹配：
   - 2022-2023年"食品信息系统升级"中标公告
   - xxx科技中标9省27个食品信息化项目

对供应商进行价值排序

• 循环使用第一步，从对目标的资产分析，到整理供应商的资产
• 整理供应商产品清单的各维度价值计算

通过FOFA挖掘更多目标供应链产品信息

举个例子：使用 FOFA 聚类功能分析 US 地区资产。

搜索已知产品：

搜索美国地区（country=“US”，这里可以换成自己的目标语法），title为xxxxxx的数量排序：

搜索US地区，产品为xxxxxx的数量排序，搜索已知产品

这里可以看到虽然US地区CISCO的产品数量很大，但是由于漏洞获取难度高，我们可以认为其权重是偏低的。

分析未知系统：

使用 fid 值（排查无效FID，例：404，403状态）进行聚类分析。fid 是 FOFA 中用于区分系统的唯一标识符，能够将相同的 Web 页面归类，便于识别目标资产范围内的通用系统组件。通过fid我们可以发现一些未知、小众的资产。这些系统可能因为其独特性或低曝光率，在分析中具有更高的权重。

通过对供应链相关组件产品的进行多维度的风险值进行计算推荐出高分值得关注的清单，如下：

实战案例：从供应链到核心目标的渗透链条

攻击背景

任务目标：渗透某机构的内部网络（条件：一周时间，无0day，2人小组），具体行业机构已经虚构。 

攻击链拆解

供应链定位

通过xxxx招标平台锁定3家系统开发服务商，筛选出1家为授权地区的75%省级单位提供食品行业系统的厂商。

初始突破

然后开始批量探测扫描发现目标厂商的资产中存在一个PHP-CGI服务存在CVE-2019-11043未修复漏洞，上传WebShell获取控制权限。这个Nday是2019年的CVE，而且是高危。

横向渗透

发现机器上2个杀毒软件，通过开源代理搭建隧道，打开内网的入口。内网扫描发现JBoss反序列化漏洞（CVE-2017-12149），通过定制化Go语言木马绕过Avast杀毒软件。

定位到几台存放开发系统源代码的机器。通过分析源代码，确定其对应的系统。随后，利用 FOFA 的特殊搜索功能，使用特定的语法（如基于源代码中的特殊字段、JS 文件或图片哈希值）进行搜索，进一步识别和定位相关资产。

确认单位技巧

通过 FOFA 的搜索技巧，可以快速确认供应链中对应的单位。以下是具体方法：

通过版权信息或公司署名定位

body="供应链公司版权信息"

许多公司，尤其是小型企业，会在其开发的系统中署名，或者在源代码中标注公司名称。通过搜索版权信息，可以快速找到相关资产。

通过 JS 文件特征定位

js_md5="82ac3f14327a8b7ba49baa208d4eaa15"

有些供应商公司会在官网上标明其开发的系统，例如“xxxxx电力xxx系统”。我们只需找到这些系统的供需关系，或者利用其特殊的 JS 代码命名规则进行定位。通过计算 JS 源码的 MD5 值，可以快速搜索到包含这些自定义 JS 文件的系统。

通过系统名称定位

title="xxxxx电力xxx系统" || body="xxxxx电力xxx系统"

许多系统会在 title 或 body 中标注系统名称，而采购单位在使用这些系统后，通常不会对系统名称进行大幅修改。即使有改动，也仅限于添加本单位名称，而系统名称的后缀（如“电力系统”或“水利系统”）一般会保留不变。

通过图标哈希值定位

icon_hash="-247388890"

或者，我们也可以通过图标的哈希值（icon hash）进行搜索。图标通常很容易从网页源码中提取，且由于其唯一性较强，能够精准匹配相关资产。这种方法可以快速定位使用相同图标的系统或页面，从而高效识别目标资产。

通过地区信息筛选

country="xxxxxxxx"
region="xxxxxx"
city="xxxxxxx"

地区定位，增加筛选强度，本土公司直接筛选某区域。

通过证书信息定位

cert="xxxxxxxxxx"

证书搜索也是一种有效方法。如果运气好，证书未被修改，可以通过原始证书信息确认使用该系统的 IP 资产。

通过系统组件定位

os="xxxxxxxxxx"

许多系统使用相同的组件，例如安装在 Windows 或 Linux 上，或者使用相同的 Apache、PHP 版本。这个也是好的搜索思路。如图：

综上，组合语法得到fofa语句如下：

(title="xxxxx电力xxx系统" || body="xxxxx电力xxx系统" || cert="xxxx"）&&country="xx" && js_md5="82ac3f14327a8b7ba49baa208d4eaa15"

这几个语法简单，在拿到源码后很容易实现。

如图，成功搜到了这个地区拿到了全部资产，虽然都是IP。

供应链价值挖掘

在某 Nday 漏洞攻陷的系统中，存放着 B/S 系统的运行源码。我们直接对源码进行代码审计

发现SQL注入漏洞（SELECT * FROM user WHERE account='$_POST[id]'）（入门挖洞，成本极低）

然后用SQLMAP跑一下注入点，发现联合，报错，堆叠注入。

然后探测权限发现是sa权限，xpcmdshell执行成功，还是出网机器。

接下来写shell，先探测路径，翻了下接口，发现有个php报错，直接爆出绝对路径。

exec+master..xp_cmdshell+echo+ webshell............. >C:\xampp\xxxxxxxx\xxxx.php

直接echo命令写马，成功拿下system权限。

利用sqlmap导出客户邮箱后缀（*@xxxxx），反向定位目标单位公网IP。

扩大战果

通过供应链厂商生产的食品系统指纹批量快速得到全球资产，拿下近百家机构shell，其中包含多个目标机构。全部资产都可以shell

关键结论

• 供应链渗透的精准杠杆效应：通过定向攻击某食品行业系统开发服务商（覆盖区域百家食品行业机构），成功渗透其服务的百家单位，其中包含多家明确任务目标。攻击成本仅为直接渗透单一目标的1/15，验证了“单点突破、多目标覆盖”的战术价值。
• 漏洞周期性规律：目标供应链厂商产品近3年稳定年均曝出4-6个高危漏洞（CVSS≥9.0）。此类厂商可标记为“周期性漏洞源”，在漏洞公开窗口期（如CVE编号分配后30天内）实施攻击利用，成功率提升72%。
• 挖掘关注度少的系统：该食品行业系统关注度少，非知名系统，使用Nday即可击破，并非复杂的攻击路径。

结语：安全博弈的本质重构

供应链攻击的成功并非依赖技术复杂度，而在于对生态脆弱性的系统性挖掘。当防御者聚焦于“高墙深壕”时，攻击者已通过迂回路径重构了攻防成本曲线。未来的安全体系需跳出单点防御思维，将供应链纳入全局风险评估框架——因为最危险的威胁，往往来自你最信任的合作伙伴。

tip

后续我们将持续对文章内容进行优化与完善，最新版本可以在 https://github.com/FofaInfo/Awesome-FOFA 中查看，欢迎大家随时关注并提出宝贵建议~

End

欢迎各位白帽师傅们加入我们的社区大家庭，一起交流技术、生活趣事、奇闻八卦，结交无数白帽好友。

也欢迎投稿到 FOFA，审核通过后可获得F点奖励，快来加入微信群体验吧~~~

微信群：扫描下方二维码，加入 FOFA 社群！获取更多一手信息！