自动售货机云端攻防

提示：本次为授权友情测试，在厂商确认修复完毕同意后才发表。

之前发了关于自动售货机越权和命令执行的文章，非常受大家欢迎。但是两篇文章都是有前提，就是需要拥有一个账号。所以有了这第三篇，从零渗透自动售货机云端。

前两篇文章写得很简单，实际过程中还是遇到了很多问题，把那些曲折的故事都折叠了，所以最后的文章比较短，大家觉得看得很不过瘾。所以我这次对渗透售货机云端做一个详细的记录。

实际在写完两篇文章之前，我已经从零入侵过自动售货机云端了，打算再复现写文给大家看的。但是和运营商报告漏洞的时候，说漏嘴了，被缝补了那个漏洞。所以我又只有重新渗透，重新寻找。毕竟答应了大家的就一定要做到。

首先通过域名得知，自动售货机的名字和主域名:A.com。

然后通过搜索名字，得到该自动售货机的小程序，然后分析小程序得到第二个域名:B.com

首先尝试了正面渗透，但是生产服务器也统一只开了443和80端口，并对其进行了常规渗透，未找到突破口，

正面突破毫无办法之后，我把所有收集到的IP进行整理。统一丢到了fofa进行逐个查看。

其中发现test.A.com域名估计存在利用价值。

估计存在利用价值是因为该服务器暴露的服务比较多，切存在子域名test。所以把目标锁定到这台机器。（实际上第一次拿到服务器权限就是通过该机器，但是漏洞后面被开发封堵了）

通过fofa结果，过滤无法利用的端口，开始对逐个http端口进行分析。

Jenkins 的前身是Hudson是一个可扩展的持续集成引擎。Jenkins 是一款开源 CI&CD 软件，用于自动化各种任务，包括构建、测试和部署软件。Jenkins 支持各种运行方式，可通过系统包、Docker 或者通过一个独立的 Java 程序。

由于有明显的title，遂即对该服务进行测试。拜读了Jenkins RCE漏洞分析汇总之后进行测试，发现使用的是高版本的Jenkins，所有已知的漏洞无法利用。遂即进行下一个测试。

ActiveMQ 是Apache出品，最流行的，能力强劲的开源消息总线。ActiveMQ 是一个完全支持JMS1.1和J2EE 1.4规范的 JMS Provider实现,尽管JMS规范出台已经是很久的事情了,但是JMS在当今的J2EE应用中间仍然扮演着特殊的地位。

发现了该服务，遂即搜索相关漏洞。然后通过弱口令进入了ActiveMQ页面。

因为提示有版本，对比版本后发现5.15.2对已知漏洞免疫，遂即查找其他利用价值。

经过仔细查找发现了一台新的服务器：

估计这就是新的利用点了。

然后把该IP丢到fofa找到：

然后继续每个端口进行查找，但是依旧一无所获。。不甘心啊。肯定有漏洞存在的，我给自己催眠着说。

然后把IP丢到了masscan进行扫描，发现新的开放端口，并使用nmap进行端口服务识别。果然出来了几个新的端口，看来不能完全相信fofa啊。

逐个对新端口进行测试，通过扫描发现新的服务：druid

Druid是一个阿里巴巴出品的JDBC组件。

通过浏览器直接进入druid页面（druid未授权访问漏洞）：

逛了一圈，发现有价值的只有rds服务名和一些sql语句和数据库名，字段，其他毫无价值。

url和session页面都为空，看来这两项这个druid并不管理。如果存在session的话，说不定可以伪造登陆。

又犯难了，毫无切入点啊。。。：（ 答应大家的一定要做到啊，又强忍着，继续推倒重新渗透。