Bootstrap

Nmap识别MongoDB 6.0指纹

Nmap识别MongoDB 6.0指纹

朋友反馈一个问题,说使用Nmap扫描MongoDB服务时对于6.0以上的版本默认无法识别到服务版本信息。

如上图所示,对应的VERSION信息是空的,在提示信息中可以看到,官方推荐将指纹信息上传以帮助更新服务指纹,又或者可以通过Nmap的默认脚本mongodb-info来做版本识别。前一种方式需要等待官方做指纹文件更新或产品版本更新,后者使用脚本又会影响到扫描速度。如果想在当前的Nmap版本下不使用脚本来识别MongoDB 6.0以上版本,唯一的办法是使用Nmap内置的服务指纹将MongoDB 6.0服务版本识别出来。

Nmap服务指纹解析

Nmap默认的服务指纹文件位于/usr/share/nmap目录下,文件名是nmap-service-probes,根据默认端口27017可以找到Nmap识别MongoDB服务的内容:

上图中的匹配规则用到了四个指令:

  • Probe:为识别服务发送的字符串信息;
  • rarity:1-9范围的数字,是服务识别和可靠性的概率,数字越大,扫描概率越小,返回信息价值越低;
  • ports:服务识别常用的端口,效果与nmap的-p参数相同;
  • match:根据Probe指令发送字符串返回的信息,匹配服务指纹规则;

上图中用于识别MongoDB服务,通过TCP协议发送到服务端的字符串是:

\x41\0\0\0\x3a\x30\0\0\xff\xff\xff\xff\xd4\x07\0\0\0\0\0\0test.$cmd\0\0\0\0\0\xff\xff\xff\xff\x1b\0\0\0\x01serverStatus\0\0\0\0\0\0\0\xf0\x3f\0

match指令的格式包括:

  • 服务名称(service)
  • 匹配规则(pattern)
  • 版本信息(versioninfo)

以第一行的match指令为例:

match mongodb m|^.*version.....([\.\d]+)|s p/MongoDB/ v/$1/ cpe:/a:mongodb:mongodb:$1/
  • 服务名称:MongoDB
  • 匹配规则:m|^.*version.....([\.\d]+)|s,采用Perl格式的正则表达式,s表示包含换行符;
  • 版本信息:p/MongoDB/ v/$1/ cpe:/a:mongodb:mongodb:$1/,其中p指的是厂商信息,v指的是版本信息,这里引用自匹配规则里匹配的参数,cpe指的CPE(Common Platform Enumeration)格式,用于识别服务、操作系统和硬件;

CPE的格式如下:

cpe:/<part>:<vendor>:<product>:<version>:<update>:<edition>:<language>

除了v指令之外,CPE的第4个值也是产品版本信息,因此上图匹配规则中,只有第一行的规则可以用于识别MongoDB服务版本,通过匹配返回信息中的version信息来显示MongoDB版本。

MongoDB 5.0.1指纹解析

以MongoDB 5.0.1版本为例,当使用nmap对目标的27017端口进行扫描时:

nmap会发送上文中的Probe指令:

MongoDB响应数据包中可以匹配上文中第一条match指令:

因为在Nmap的扫描结果中,可以看到version(版本号)是p指令+指令,即“MongoDB v5.0.1”。

MongoDB有线协议

MongoDB有线协议(Wire Protocol)是请求/响应形式的TCP/IP的Socket,客户端和服务端通过该协议进行通讯,服务端实例(mongod和mongos)的默认端口是27017。

以MongoDB 6.0为例,客户端和服务端在通讯时的消息格式采用的是OP_MSG操作符,即采用以下格式对消息进行编码:

OP_MSG {
    MsgHeader header;           // standard message header
    uint32 flagBits;            // message flags
    Sections[] sections;        // data sections
    optional<uint32> checksum;  // optional CRC-32C checksum
}

其中,MsgHeader是标准信息头,客户端与服务端来往的消息都包含标准信息头(在SSL/TLS连接时没有checksum字段),其后才是消息内容(如OP_MSG结构中sections数组,数组每一项由Kind值开头,后接载体数据),标准信息头的结构如下:

struct MsgHeader {
    int32   messageLength; // total message size, including this
    int32   requestID;     // identifier for this message
    int32   responseTo;    // requestID from the original request
                           //   (used in responses from the database)
    int32   opCode;        // message type
}

MsgHeader中opCode消息类型会决定OP_MSG的结构,以OP_QUERY为例:

struct OP_QUERY {
    MsgHeader header;                 // standard message header
    int32     flags;                  // bit values of query options.  See below for details.
    cstring   fullCollectionName ;    // "dbname.collectionname"
    int32     numberToSkip;           // number of documents to skip
    int32     numberToReturn;         // number of documents to return
                                      //  in the first OP_REPLY batch
    document  query;                  // query object.  See below for details.
  [ document  returnFieldsSelector; ] // Optional. Selector indicating the fields
                                      //  to return.  See below for details.
}

OP_QUERY类型用于查询数据库中的集合,也是Nmap进行指纹识别时发送的请求消息类型,即上文图中的Probe指令。

但在MongoDB 5.1版本之后,OP_QUERY等消息类型已被淘汰,而相应的Nmap的服务指纹文件和NSE脚本中的服务识别脚本都未更新MongoDB的OP_MSG消息格式,因此无法正确识别出MongoDB的版本信息。

MongoDB 6.0指纹识别

知道MongoDB 5.0.1版本的指纹识别方式,以及MongoDB的OP_MSG消息格式,便可以通过抓取MongoDB 6.0的版本信息请求的流量,修改Nmap的服务探针文件nmap-service-probe来识别服务版本。

首先写一段Python代码作为客户端向MongoDB服务端发起版本信息的请求:

#!/bin/env python
 
import pymongo
 
client = pymongo.MongoClient("mongodb://192.168.168.133:27017")
server_status = client.admin.command("serverStatus")
print(server_status["version"])

同时,在脚本执行的同一环境下使用TCPDump抓取流量包

sudo tcpdump -i eth0 host 192.168.168.133 -w mongo.pcap

基于抓取的流量包进行分析,可以看到获得最终版本信息的请求头:

从/0x5f/0x00/0x00/0x00开始的便是Python脚本发送给MongoDB服务端的OP_MSG消息头,使用该十六进制字符串替换/usr/share/nmap/nmap-service-probes文件中的Probe指令,由于响应消息中的version匹配格式与原match指令中相同,所以不用变更match指令,这样即可实现对于MongoDB 6.0版本的识别。

但现在的识别仅是相当于流量重放的结果,不一定能够识别所有MongoDB 6.0的指纹,因此需要解析上面流量的OP_MSG消息,剥离出通用版本的OP_MSG请求。

根据6.0版本的OP_MSG格式,可以得知上图中的十六进制字符串的构成:

\x5f\x00\x00\x00:OP_MSG.MsgHeader.messageLength
\x51\xdc\xb0\x74:OP_MSG.MsgHeader.requestID
\x00\x00\x00\x00:OP_MSG.MsgHeader.responseTo
\xdd\x07\x00\x00:OP_MSG.MsgHeader.opCode
\x00\x00\x00\x00:OP_MSG.flagBits
\x00:OP_MSG.sections[0].kind
\x4a\x00\x00\x00\x10\x73\x65\x72\x76\x65\x72\x53\x74\x61\x74\x75\x73\x00\x01\x00\x00\x00\x03\x6c\x73\x69\x64\x00\x1e\x00\x00\x00\x05\x69\x64\x00\x10\x00\x00\x00\x04\x7c\xc1\xc2\x6c\xd7\x11\x40\x21\xb6\xf7\x5a\x52\x08\xaf\xca\x5e\x00\x02\x24\x64\x62\x00\x06\x00\x00\x00\x61\x64\x6d\x69\x6e\x00\x00:OP_MSG.sections[0].payload

核心部分是OP_MSG中sections的payload,使用Python中的bson模块对payload解析:(见评论区)

其中的lsid是客户端请求服务端的会话ID,是bson类型的UUID:7cc1c26cd7114021b6f75a5208afca5e。

因此,可以使用自定义生成uuid来创建能够查询MongoDB版本信息的OP_MSG消息头:

import socket
import bson
import binascii
import uuid
 
def send_op_msg_request(request):
    host = '192.168.168.133'
    port = 27017
 
    client = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    client.connect((host, port))
 
    client.sendall(request)
    response = client.recv(4096)
 
    client.close()
 
    return response
 
def build_op_msg_request():
    msg_header = b'\x5f\x00\x00\x00'  # total message size
    msg_header += b'\x00\x00\x00\x00'  # identifier for message
    msg_header += b'\x00\x00\x00\x00'  # request id
    msg_header += b'\xdd\x07\x00\x00'  # message type
 
    op_msg = msg_header + b'\x00\x00\x00\x00'  # message flags
 
    section = {
        'serverStatus': 1,
        'lsid': {'id': bson.binary.Binary(uuid.uuid4().bytes, bson.binary.UUID_SUBTYPE)},
        '$db': 'admin'
    }
 
    request = op_msg + b'\x00' + bson.encode(section)
 
    return request
 
op_msg_request = build_op_msg_request()
response = send_op_msg_request(op_msg_request)
 
print(response)

上面代码中的request值就是发送至服务端的OP_MSG消息,可以用于替换nmap-service-probe文件的指纹信息。

以下是更换指纹前后的对比效果:

更改指纹文件前

更改指纹文件后

参考材料

https://www.mongodb.com/docs/v6.0/reference/mongodb-wire-protocol/

https://www.mongodb.com/docs/v6.0/reference/bson-types/#std-label-bson-types

https://nmap.org/book/vscan-fileformat.html

洞源实验室
安全工程师:裴伟伟
2024 年 11 月 19 日 

;