Nmap识别MongoDB 6.0指纹
朋友反馈一个问题,说使用Nmap扫描MongoDB服务时对于6.0以上的版本默认无法识别到服务版本信息。
如上图所示,对应的VERSION信息是空的,在提示信息中可以看到,官方推荐将指纹信息上传以帮助更新服务指纹,又或者可以通过Nmap的默认脚本mongodb-info来做版本识别。前一种方式需要等待官方做指纹文件更新或产品版本更新,后者使用脚本又会影响到扫描速度。如果想在当前的Nmap版本下不使用脚本来识别MongoDB 6.0以上版本,唯一的办法是使用Nmap内置的服务指纹将MongoDB 6.0服务版本识别出来。
Nmap服务指纹解析
Nmap默认的服务指纹文件位于/usr/share/nmap目录下,文件名是nmap-service-probes,根据默认端口27017可以找到Nmap识别MongoDB服务的内容:
上图中的匹配规则用到了四个指令:
- Probe:为识别服务发送的字符串信息;
- rarity:1-9范围的数字,是服务识别和可靠性的概率,数字越大,扫描概率越小,返回信息价值越低;
- ports:服务识别常用的端口,效果与nmap的-p参数相同;
- match:根据Probe指令发送字符串返回的信息,匹配服务指纹规则;
上图中用于识别MongoDB服务,通过TCP协议发送到服务端的字符串是:
match指令的格式包括:
- 服务名称(service)
- 匹配规则(pattern)
- 版本信息(versioninfo)
以第一行的match指令为例:
- 服务名称:MongoDB
- 匹配规则:m|^.*version…..([.d]+)|s,采用Perl格式的正则表达式,s表示包含换行符;
- 版本信息:p/MongoDB/ v/$1/ cpe:/a:mongodb:mongodb:$1/,其中p指的是厂商信息,v指的是版本信息,这里引用自匹配规则里匹配的参数,cpe指的CPE(Common Platform Enumeration)格式,用于识别服务、操作系统和硬件;
CPE的格式如下:
除了v指令之外,CPE的第4个值也是产品版本信息,因此上图匹配规则中,只有第一行的规则可以用于识别MongoDB服务版本,通过匹配返回信息中的version信息来显示MongoDB版本。
MongoDB 5.0.1指纹解析
以MongoDB 5.0.1版本为例,当使用nmap对目标的27017端口进行扫描时:
nmap会发送上文中的Probe指令:
MongoDB响应数据包中可以匹配上文中第一条match指令:
因为在Nmap的扫描结果中,可以看到version(版本号)是p指令+指令,即“MongoDB v5.0.1”。
MongoDB有线协议
MongoDB有线协议(Wire Protocol)是请求/响应形式的TCP/IP的Socket,客户端和服务端通过该协议进行通讯,服务端实例(mongod和mongos)的默认端口是27017。
以MongoDB 6.0为例,客户端和服务端在通讯时的消息格式采用的是OP_MSG操作符,即采用以下格式对消息进行编码:
其中,MsgHeader是标准信息头,客户端与服务端来往的消息都包含标准信息头(在SSL/TLS连接时没有checksum字段),其后才是消息内容(如OP_MSG结构中sections数组,数组每一项由Kind值开头,后接载体数据),标准信息头的结构如下:
OP_QUERY类型用于查询数据库中的集合,也是Nmap进行指纹识别时发送的请求消息类型,即上文图中的Probe指令。
但在MongoDB 5.1版本之后,OP_QUERY等消息类型已被淘汰,而相应的Nmap的服务指纹文件和NSE脚本中的服务识别脚本都未更新MongoDB的OP_MSG消息格式,因此无法正确识别出MongoDB的版本信息。
MongoDB 6.0指纹识别
知道MongoDB 5.0.1版本的指纹识别方式,以及MongoDB的OP_MSG消息格式,便可以通过抓取MongoDB 6.0的版本信息请求的流量,修改Nmap的服务探针文件nmap-service-probe来识别服务版本。
首先写一段Python代码作为客户端向MongoDB服务端发起版本信息的请求:
同时,在脚本执行的同一环境下使用TCPDump抓取流量包
基于抓取的流量包进行分析,可以看到获得最终版本信息的请求头:
从/0x5f/0x00/0x00/0x00开始的便是Python脚本发送给MongoDB服务端的OP_MSG消息头,使用该十六进制字符串替换/usr/share/nmap/nmap-service-probes文件中的Probe指令,由于响应消息中的version匹配格式与原match指令中相同,所以不用变更match指令,这样即可实现对于MongoDB 6.0版本的识别。
但现在的识别仅是相当于流量重放的结果,不一定能够识别所有MongoDB 6.0的指纹,因此需要解析上面流量的OP_MSG消息,剥离出通用版本的OP_MSG请求。
根据6.0版本的OP_MSG格式,可以得知上图中的十六进制字符串的构成:
核心部分是OP_MSG中sections的payload,使用Python中的bson模块对payload解析:
其中的lsid是客户端请求服务端的会话ID,是bson类型的UUID:7cc1c26cd7114021b6f75a5208afca5e。
因此,可以使用自定义生成uuid来创建能够查询MongoDB版本信息的OP_MSG消息头:
上面代码中的request值就是发送至服务端的OP_MSG消息,可以用于替换nmap-service-probe文件的指纹信息。
以下是更换指纹前后的对比效果:
更改指纹文件前
更改指纹文件后
参考材料
https://www.mongodb.com/docs/v6.0/reference/mongodb-wire-protocol/
https://www.mongodb.com/docs/v6.0/reference/bson-types/#std-label-bson-types
https://nmap.org/book/vscan-fileformat.html
洞源实验室
安全工程师:裴伟伟
2024 年 11 月 19 日