前言
- 各位师傅大家好,我是qmx_07,今天给大家讲解Netmon靶机
渗透流程
信息搜集
- 服务器开放了80HTTP、21FTP(匿名登录)、445SMB服务
FTP匿名登录 获取敏感文件 登录后台
-
网站登录需要 账号、密码 ,尝试去FTP服务 碰下运气
-
通过翻阅ftp协议 ,发现user flag
user flag: b050fbbf7c5080b51470fe5f177ae542 -
PRTG cms数据存放地址
-
将配置文件下载
-
通过PRTG Configuration.old.bak 文件中 翻找到账户密码
-
用户名: prtgadmin
-
密码: PrTg@dmin2018
-
尝试登录失败,由于bak文件写的是old版本,尝试把密码更新成19
-
成功登录后台
根据CVE 获取权限
- 服务器版本符合条件
- 尝试使用ping命令,tcpdump工具 监听数据流量包 进行测试
- Setup > Account Settings > Notifications 设置 个人账户 消息通知,里面有命令下发选项,选择bat程序
- 通过点击铃铛 执行命令
- 通过tcpdump监听,发现ICMP流量
sdlfz | net user qmx07 abc123! /add; net localgroup administrators qmx07 /add
- 创建用户 qmx07,加入管理员administrators组
- 端口开放了smb协议,所以可以通过psexec组件登录,获得最高权限
- root flag:55f5b0f6c688e52bff853c65ee6113fa
答案
- 1.服务器80TCP端口的cms名称是什么?
PRTG Network Monitor
- 2.21TCP端口服务是什么?
FTP
- 3.User flag是什么?
b050fbbf7c5080b51470fe5f177ae542
- 4.PRTG Network Monitor 保存其配置文件的文件夹的完整路径是什么?
C:\ProgramData\Paessler\PRTG Network Monitor
- 5.备份配置文件名称叫什么?
PRTG Configuration.old.bak
- 6.该文件prtgadmin用户的密码是什么?
PrTg@dmin2018
- 7.现在服务器的密码是什么?
PrTg@dmin2019
- 8.服务器安装的prtg版本是什么?
18.1.37.13946
- 9.运行的命令 默认是什么账户?
system
- 10.root flag?
55f5b0f6c688e52bff853c65ee6113fa
总结
- 我们通过FTP匿名登录 获取prtg的配置文件,登录后台,使用CVE-2018-9276 通过命令执行 创建账户,加入管理员用户组,再通过 smb协议 提权到system用户
