本文涉及到的域名、IP地址均为虚构，敏感信息均已打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！

背景

某次攻防演习，指挥部分配xx地区智慧停车系统小程序为我方靶标。

那基本可以确定，需要拿下的权限可能有以下几个：

1、小程序的secretkey

2、智慧停车系统数据库权限

3、智慧停车系统web后台

0x01 信息收集

1、查看小程序注册信息、微信小程序抓包，获取当前小程序绑定域名parking.com（文章中使用的域名为虚假域名）。

2、针对获取到的域名parking.com进行子域名收集，发现部分子域名ziyu.parking.com、test.parking.com，并且解析的IP地址处在同一C段（假设为33.33.33.1/24），且IP归属地为xx地区，因此判断存在本地数据中心机房。

3、针对获取到的IP信息，对同一C段IP进行资产测绘，发现多个C段内IP存在web标题类似“xx停车”、“任务调度”的字样，因此判断C段内部分IP也属于靶标“智慧停车小程序”的资产。

结合信息收集的内容，目前已经对靶标小程序有了基本判断：机房部署在本地、拥有多个本地相邻IP地址。

0x02 打偏目标，百思不得其解

nacos

首先针对parking.com及其对应IP的C段进行渗透，成功在C段内找到一个nacos系统，使用公开poc给nacos添加用户，成功登录进入nacos后台。

这个nacos里存放了很多yaml格式的配置文件，逐一查看后，发现有阿里云的ak、华为云的ak、还有部分内网资产服务密码。

这里重点关注云服务厂商的ak、sk。

oss:
endpoint: oss-cn-hangzhou.aliyuncs.com
access-key-id: LTAxxxxxxxx
access-key-secret: fJxxxxxxxxxxxxxxxxxxxxxxx
bucket-name: xxxxxxxxxxx
pickey: xxxxxxxx/
base-url: http://xxxxxxxxxx.oss-cn-hangzhou.aliyuncs.com/


endpoint: http://oss-cn-hangzhou.aliyuncs.com
accesskey: LTxxxxxxxxx
secret: g7xxxxxxxxxxxxxxxxxxxxxxxx
bucket: xxxx
prefix: dev/ss

阿里云AK泄露

首先尝试连接oss存储桶，使用阿里云官方的oss浏览器连接成功。

可以看到多个过车截图，时间也是最新的，可以确定这就是当前智慧停车小程序用于存放过车图片的OSS存储桶。

再尝试用ak做更多的操作，使用cf工具，发现当前ak只有存储桶oss的权限。

CF工具github（目前已经不对外公开）：https://github.com/Phuong39/cf