从谷歌群组侦察到Docker Registry未授权访问的渗透测试教学

0x00 前言

本文记录了一种通过谷歌群组信息泄露进而发现Docker Registry未授权访问漏洞的完整渗透测试流程。该方法特别适用于国外中小型厂商的安全测试。

0x01 谷歌群组信息泄露侦察

侦察原理

当谷歌群组配置不当时（允许非群组成员浏览），会泄露群组内成员的敏感信息，包括：

• 真实姓名
• 邮箱地址
• 用户用途描述

侦察方法

1. 构造谷歌群组URL格式：

   https://groups.google.com/a/<DOMAIN.COM>/forum/
   

   其中<DOMAIN.COM>替换为目标域名

2. 结果判断：

   • 群组存在但不可浏览：显示"拒绝访问"提示
   • 群组不存在：显示"未找到"提示
   • 群组存在且可浏览：显示群组成员及信息

实际案例

通过该方法发现目标厂商的谷歌群组配置不当，泄露了：

• 用户名
• 邮箱地址（包括非主域名的内部邮箱）
• 用户用途描述

0x02 信息利用与横向渗透

内部邮箱分析

从泄露信息中发现：

• 非主域名的邮箱后缀（可能为内部域名）
• 推测存在内部域名用于：Test、Developers、Product等用途

子域名枚举

1. 对目标域名进行子域名收集
2. 发现托管Harbor的子域（Harbor是开源容器镜像仓库）

Docker Registry发现

1. Harbor服务通常与Docker Registry一同部署
2. 手工构造Docker Registry常见子域名：

   https://docker-registry.example.com/
   

3. 验证未授权访问：
   • /v1/ → 404
   • /v2/ → 成功访问（正常情况下需要401认证）

镜像仓库分析

1. 发现生产环境latest版本的镜像
2. 镜像命名规则显示为线上业务

0x03 漏洞利用

自动化工具

使用docker_fetch工具自动化拖取Docker镜像：

https://github.com/NotSoSecure/docker_fetch/

敏感信息发现

从镜像中提取到：

• Access Key/Secret Key (AK/SK)
• 其他敏感凭证

0x04 防御建议

1. 谷歌群组配置：

   • 限制非成员访问权限
   • 定期审计公开群组

2. Docker Registry防护：

   • 强制启用认证（避免401未授权访问）
   • 使用网络ACL限制访问来源
   • 启用TLS加密

3. 敏感信息管理：

   • 避免在镜像中硬编码AK/SK
   • 使用密钥管理服务

0x05 总结

本案例展示了如何：

1. 从公开信息源（谷歌群组）发现信息泄露
2. 通过信息关联发现内部资产
3. 利用配置不当服务获取敏感数据

关键点：知识面决定攻击面广度，知识链决定攻击深度。在渗透测试中不应放过任何细节，第三方小工具可能成为突破点。