对HackTheBox里面的Netmon进行攻破

废话不多说直接执行Nmap扫描的第一步是查看计算机正在运行的服务类型：

扫描结果中最突出的是端口80上的HTTP和端口21上的FTP。我首先浏览到端口80，并看到Paessler PRTG的登录页面。这是用于监视设备并报告其状态（停机时间，CPU使用率，磁盘空间使用情况等）的软件。

我做了一个快速的谷歌找到PRTG的默认凭据（prtgadmin：prtgadmin）。但不幸的是，凭据没有用。就目前而言，这是我可以获得的PRTG。我决定将注意力转向FTP端口。

我连接到FTP，发现它接受匿名连接。

我浏览到公用文件夹以查看是否可以访问用户标志。

这可能是我发现的最简单的用户标记之一。我尝试对根标志执行相同的操作，但没有那么多运气。

我决定尝试查找PRTG的一些凭据，以便可以登录到Web前端。PRTG的较旧版本中存在一个漏洞，其中PRTG请求运行其传感器软件的设备凭据存储在PRTG配置文件中，没有任何形式的加密。我继续寻找并尝试找到此配置文件。通过FTP，我导航到通常存储配置文件的位置。

从输出中可以看到。有3个PRTG配置文件。我下载了所有文件，并逐一检查了每个文件，以查看其中是否存储了任何凭据。

我在Google上进行了一些搜索，发现机器上使用的PRTG版本容易受到命令注入漏洞的攻击。在这里可以找到更详细的描述。

工作方式。PRTG本质上监视着不同设备的状态。一旦达到某个状态，就可以将其配置为执行各种任务，包括发送电子邮件，发送SMS，执行脚本等。例如，当服务器发生故障时，它可以用于向管理员的电子邮件地址发送警告消息，以便管理员进行调查。命令注入漏洞通过执行脚本通知起作用。设备达到特定状态后，可以将PRTG配置为运行脚本。

无法通过Web界面添加脚本。它们需要上载到服务器的C：/ Program Files（x86）/ PRTG Network Monitor / Custom Sensors / EXE /目录。然后可以通过PRTG Web界面将它们选择为自定义通知。

我试图通过FTP上载反向Powershell脚本到此目录，但是很遗憾，我没有拥有所需的特权。

在上面的链接中发现的命令注入漏洞发现该目录中已经存储了两个默认脚本。您可以在PRTG Web界面中包含要运行的脚本的参数。这些参数根本没有清除，而是直接传递到powershell中。由于PRTG在系统帐户下运行，因此作为参数传递的任何命令都将作为系统运行。我决定通过在参数输入中输入以下命令来对此进行测试：

我保存了此通知模板，然后需要将其添加到设备中以使其运行。我打开DNS ping传感器，因为它总是失败。

该通知已添加到传感器，并配置为在设备关闭60秒后运行。由于传感器始终处于关闭状态，这意味着通知将立即运行。将通知保存到传感器后，我通过FTP浏览到C：的根目录，以查看我的文件是否存在以及代码是否成功运行。

如您所见，该代码看起来已成功运行。有一个名为output.txt的文件，当我下载并查看它时，将成功显示Administrator文件夹的目录结构。

从此输出中，我们可以看到所需的root.txt标志的确切位置。知道我们现在可以以系统用户身份运行代码。我创建最后一个PRTG通知以获取root.txt的内容并将其复制到根目录，以便我可以读取它。我通过更改参数字段来执行此操作，因此它运行命令“ more root.txt”并将输出通过管道传递到根目录，而不是运行tree命令。完整的命令是：

我重复使用新命令描述的步骤，并等待output.txt文件被更新。更新后，我将下载新的output.txt文件并查看内容。

end