从信息收集到阿里云控制台接管：一次完整渗透测试教学

从信息收集到阿里云控制台接管：一次完整渗透测试教学 1. 信息收集阶段 1.1 初始信息 仅获得一个国企名称作为起点 使用天眼查搜索该国企，发现一个域名 域名解析后得到一个IP地址 1.2 端口扫描 使用nmap进行全端口扫描，发现开放以下端口： 443 (HTTPS) 3306 (MySQL) 8080 (备用HTTP) 9001 (MinIO控制台) 2. 443端口分析 2.1 系统识别 发现是一个智慧监测系统 基于Ruoyi框架改造 2.2 用户枚举 尝试用户名枚举攻击 成功爆破出admin用户弱口令 登录后台但未发现有价值信息 2.3 目录扫描 通过分析登录数据包接口，扫描/prod-api目录 发现/actuator端点，但需要Authorization校验 成功爆破Authorization头获得访问权限 3. Heapdump分析 3.1 获取Heapdump文件 从/actuator端点下载heapdump文件 3.2 分析内容 发现两个供应商平台的账号密码 获取MySQL数据库凭据 获取智慧监控系统的账号密码(BCrypt加密) 发现MinIO服务的账号密码 4. 8080端口分析 4.1 API接口文档 发现API接口文档 需要Authorization鉴权 之前获取的Authorization无效 未能成功爆破新的Authorization 4.2 第二个Heapdump文件 发现一个1GB大小的heapdump文件 包含多个供应商平台账号密码 数据库连接信息与之前相同 关键发现 ：阿里云AccessKey和SecretKey 5. 阿里云接管 5.1 使用CloudFox工具 使用cf alibaba perm命令验证权限 确认拥有最高管理员权限(AliyunRAMFullAccess) 5.2 控制台接管 使用cf alibaba console命令接管控制台 接管原理：创建具有管理员权限的子用户 可选择绑定自己的手机号 可使用取消接管命令恢复 6. 9001端口(MinIO)分析 6.1 登录MinIO控制台 使用之前从heapdump获取的凭据 成功登录MinIO控制台 6.2 内容检查 发现大量图片和terrain文件 内容过多未深入检查 可能存在其他有价值数据 7. 后续尝试 尝试在智慧监测系统后台测试Ruoyi框架漏洞 系统突然无法访问，测试中断 8. 技术要点总结 信息收集 ：从单一信息源扩展攻击面 弱口令攻击 ：用户名枚举和密码爆破 敏感信息泄露 ：heapdump文件分析 权限提升 ：通过泄露的AK/SK获取云服务控制权 横向移动 ：利用一处漏洞获取多系统访问权限 9. 防御建议 禁用生产环境的actuator端点或严格限制访问 使用强密码策略，避免弱口令 定期检查并删除代码中的硬编码凭据 对heapdump等敏感文件进行访问控制 严格管理云服务AK/SK，遵循最小权限原则 监控异常登录和权限变更