自动售货机云端攻防(2)

既然强攻不行，我就暴力破解吧。因为还有几个ssh，mysql，mongodb端口。暴力了一番，然后人工利用已经掌握到的信息进行了一番猜解，依然毫无办法。

既然fofa不靠谱，我就从第一台服务器开始重新使用masscan+nmap进行扫描。

然后发现了三个新端口。。。又燃起了我内心的希望。。

新端口逐个分析。其中又有一个是druid未授权漏洞，但是依然没有办法利用。

然后继续拿出我的大杀器dirsearch，发现一枚actuator未授权访问漏洞。

Actuator它是springboot提供对应用自身监控，以及对应用系统配置查看等功能。

实际上之前也发现了其他的actuator服务，但是都是未授权。

发现的这一枚居然可以访问env配置文件。

其中发现了一个访问密钥micro.service.access.secrets

然后把这个密钥拿着又论坛测试了一遍暴露的ssh,mysql,mongodb.redis等服务

结果并不意外，全部以失败告终。

然后我测试起了actuator本身的漏洞，经过搜索对已知的几个漏洞进行了测试，例如 Jolokia端点利用，xxe等漏洞进行了测试也都不存在利用点。

这个时候已经过去一天半了，我有点想放弃了。但是答应了读者的啊，必须做到！！！！！

然后对整个信息收集做了一个总结，重新分析重新寻找薄弱点。

通过自己的收寻和查找，基本可以确定，该售后机云端为纯Java构建的微服务，技术栈为：

Linux 未知发行版，核心为3.10

SpringCloud 作为微服务框架

JKD java运行时，版本为1.8

jetty web容器

mysql 作为数据库,已知数据库版本为5.6，且已知用户名

Jenkins CI持续集成

actuator 应用监控

Druid 数据库监控

ActiveMQ 消息列队

mqtt iot服务发现

redis 缓存服务

mongodb 目前未知作用

NACOS 服务配置服务

就在整理已知信息的时候突然发现好之前忽略的一个端口的actuator配置：

这是什么？？？这是曙光啊！！！

遂即进行测试：

已经拿到redis权限。密码这么复杂，怪不得之前爆破未成功。

既然已经拿到redis权限，接下来就可以常规redis getshell了。但是由于是友情渗透测试。

所以并未继续……直接上报。

实际上厂商对生产环境的防御工作还是做得挺好的，只开了必要端口，ssh端口也是需要通过跳板机的方式进入。

但是薄弱环节在开发测试服务器上，产生了可以利用的链条。

所以请厂商，做好测试环境防御，不要随便对外暴露服务和端口。不要在配置文件中使用硬编密码。

不要对测试环境绑定域名，可以本机绑定hosts的方式。必须要暴露等情况下，使用IP白名单的方式。

做好权限工作，保证java，mysql，redis，mongodb等中间件不要运行在root权限下。

渗透过程中一定要做好信息收集工作，不能盲目相信fofa之类的api。话说买了fofa api很后悔，哪里可以退钱？？

渗透过程中一定要不断联系各个信息点，不断总结梳理，发现可利用价值信息。不断测试，推测。

BTW，此次渗透测试记录是在厂商修复完毕后才发表的。至此，云端基本渗透测试完毕，我也不想再继续了。

之后如果还有IOT相关的，我希望是固件和硬件相关的，以前也没接触过这方面，也想挑战一下自己。

如果有IOT厂商愿意提供固件和有趣的硬件，可以私信我。