![在这里插入图片描述](https://img-blog.csdnimg.cn/a06797dc8f4b4571b5d9ff33b430b95e.png)
信息收集
![在这里插入图片描述](https://img-blog.csdnimg.cn/0cabe82ec5574d42887eaea5fa0c95fb.png)
一个将网站转换为PDF的功能。
![在这里插入图片描述](https://img-blog.csdnimg.cn/af83d880605b4ec6baeb22773050a7e7.png)
应该是可以从攻击机上开一个http服务好让他转换,但是我发现输入分号跟在url地址后面就能转换有些不能转换url。
![在这里插入图片描述](https://img-blog.csdnimg.cn/c453d0fb9bcc493f9832c711615e79ab.png)
![在这里插入图片描述](https://img-blog.csdnimg.cn/a58e7138127b4f31ac053ca04b76faa8.png)
抓包的时候发现了提供pdf转换的工具以及工具版本。
![在这里插入图片描述](https://img-blog.csdnimg.cn/4b9e302ef5db407ea89601da7545c367.png)
搜索pdfkit v0.8.6
得知相关漏洞利用。
![在这里插入图片描述](https://img-blog.csdnimg.cn/b9b9518594df48d383cff6b73a3bb19d.png)
开机
![在这里插入图片描述](https://img-blog.csdnimg.cn/c544d6a33c0843d48eab5c81133063aa.png)
提权
ruby用户的根目录里面有一个.bundle
文件。
![在这里插入图片描述](https://img-blog.csdnimg.cn/b5cbd4122b41406295e38f302886fb05.png)
里面的配置文件就有henry的凭证。
![在这里插入图片描述](https://img-blog.csdnimg.cn/f85d738521a340008a379102135dc7dc.png)
![在这里插入图片描述](https://img-blog.csdnimg.cn/bbd4a7c28e5b4080b30eb1bc470e83bc.png)
![在这里插入图片描述](https://img-blog.csdnimg.cn/b04ca9a0d0544e0692b887e595d6c9a2.png)
安装的依赖性和dependencies.yml里面指定的依赖性版本做比较。
![在这里插入图片描述](https://img-blog.csdnimg.cn/d6ab57ac31944ad8ba8610e17c0da7ea.png)
继续搜索知道这种情况对应的提权方法。
![在这里插入图片描述](https://img-blog.csdnimg.cn/0db48784e4a7434f98561f119b4686bc.png)
![在这里插入图片描述](https://img-blog.csdnimg.cn/6a5da3ada4f54e5280bbe4c331454db9.png)
ruby rb yml