2025-12-22 04:28:41 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文详细记录了一次针对某地区智慧停车小程序的渗透测试过程，通过信息收集发现目标系统部署在本地数据中心，并利用nacos配置泄露获取云服务AK，进而接管阿里云控制台。通过小程序抓包发现springactuator接口泄露，获取微信小程序凭据，最终在反编译jar包中找到数据库连接凭据，成功拿下目标系统。文章总结了云服务AK泄露的常见位置、隐藏接口的发现方法以及jar包反编译的重要性。 综合评分： 85 文章分类： 渗透测试,红队,云安全,WEB安全,漏洞分析

cover_image

云上攻防｜打穿某地区智慧停车小程序

橘猫学安全

2025年12月15日 10:38 北京

文章作者：Jerrytqq

文章来源：https://www.freebuf.com/articles/defense/407831.html

文章转自神农Sec

云上攻防｜打穿某地区智慧停车小程序

背景

某次攻防演习，指挥部分配xx地区智慧停车系统小程序为我方靶标。

那基本可以确定，需要拿下的权限可能有以下几个：

1、小程序的secretkey

2、智慧停车系统数据库权限

3、智慧停车系统web后台

0x01 信息收集

1、查看小程序注册信息、微信小程序抓包，获取当前小程序绑定域名parking.com（文章中使用的域名为虚假域名）。

2、针对获取到的域名parking.com进行子域名收集，发现部分子域名ziyu.parking.com、test.parking.com，并且解析的IP地址处在同一C段（假设为33.33.33.1/24），且IP归属地为xx地区，因此判断存在本地数据中心机房。

3、针对获取到的IP信息，对同一C段IP进行资产测绘，发现多个C段内IP存在web标题类似“xx停车”、“任务调度”的字样，因此判断C段内部分IP也属于靶标“智慧停车小程序”的资产。

结合信息收集的内容，目前已经对靶标小程序有了基本判断：机房部署在本地、拥有多个本地相邻IP地址。

0x02 打偏目标，百思不得其解

nacos

首先针对parking.com及其对应IP的C段进行渗透，成功在C段内找到一个nacos系统，使用公开poc给nacos添加用户，成功登录进入nacos后台。

这个nacos里存放了很多yaml格式的配置文件，逐一查看后，发现有阿里云的ak、华为云的ak、还有部分内网资产服务密码。

这里重点关注云服务厂商的ak、sk。

oss: endpoint: oss-cn-hangzhou.aliyuncs.com access-key-id: LTAxxxxxxxx access-key-secret: fJxxxxxxxxxxxxxxxxxxxxxxx bucket-name: xxxxxxxxxxx pickey: xxxxxxxx/ base-url: http://xxxxxxxxxx.oss-cn-hangzhou.aliyuncs.com/ &nbsp; endpoint: http://oss-cn-hangzhou.aliyuncs.com accesskey: LTxxxxxxxxx secret: g7xxxxxxxxxxxxxxxxxxxxxxxx bucket: xxxx prefix: dev/ss

阿里云AK泄露

首先尝试连接oss存储桶，使用阿里云官方的oss浏览器连接成功。

可以看到多个过车截图，时间也是最新的，可以确定这就是当前智慧停车小程序用于存放过车图片的OSS存储桶。

再尝试用ak做更多的操作，使用cf工具，发现当前ak只有存储桶oss的权限。

CF工具github（目前已经不对外公开）：https://github.com/Phuong39/cf

好在又重新翻了一遍nacos里的配置文件，发现了另一个阿里云ak，这个ak具有全部的权限。

此时经常打阿里云的服务器的rt们肯定已经发现问题了，目前阿里云控制台已经具备了ak泄露异常利用的告警功能，使用老版本cf是会触发告警的。

这里推荐一个新的工具：云资产管理工具.exe

https://github.com/dark-kingA/cloudTools

这个工具具备告警处理功能，这里可以看到刚刚我用cf工具遍历ak权限产生的告警。

所以在遇到阿里云ak泄露时，建议先用这个工具将此类告警“云产品威胁检测”加入白名单，设置成“仅站内通知”，即可避免刚拿到ak就掉权限的情况。

后续成功接管阿里云控制台，发现parking.com域名注册在阿里云上，相当于我们已经接管了域名的解析权限。

再看阿里云控制台当前控制的云服务器，这个阿里云账号下面有4台云服务器，其中一台的ip地址正是parking.com域名解析的IP地址。

通过ak命令执行逐一登录云服务器，查找服务器内存放的配置文件，想要找到数据库的连接凭据，不过最终没有找到。

find / -name "*properties" find / -name "*.yaml"k

口令复用

想到之前nacos中收集到了一些内网服务、资产的密码，将收集到的密码整理成密码本，针对33.33.33.1/24这个IP C段展开密码口令复用测试。结果成功发现该C段多个mysql、ssh服务使用密码本中的密码。

众多mysql中找到了一个数据库，很明显是靶标停车系统的后台数据库，但是仔细查看后发现，数据库里面的数据时效性不足，都是半年前的数据，因此判断这是个老的数据库，目前已经不记录新数据，一定还有一个新使用的数据库。

在多个ssh中继续尝试寻找配置文件，同样没有找到期望的配置文件，但是在一个ssh服务器中的web目录找到了一个jar包

用jadx将jar包反编译后，发现了硬编码的密钥，测试后发现该密钥是当前服务器web服务的后台密码。

成功登录web后台后发现为开发公司的流程审批系统，也不是我们想要找的智慧停车靶标后台系统。

小程序渗透

C段旁站渗透无果后，开始针对小程序展开渗透，挂上代理对小程序进行抓包，顺利在二级路径下找到了spring actuator接口泄露。路径类似：http://www.parking.com/wx-app/actuator/heapdump

成功从heapdump数据中提取出redis密码、微信appId和appSecret

>> spring.rabbitmq.host -> 192.168.1.x >> spring.rabbitmq.username -> admin >> spring.rabbitmq.password -> xxxxxxxx &nbsp;>> spring.redis.host -> 192.168.1.x >> spring.redis.password -> parkxxxxxxx &nbsp;>> applet.wechat-appSecret -> 9a0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx >> applet.wechat-appId -> wxf1xxxxxxxxxxxxx