本文介绍了如何通过fscan扫描靶场Convert,发现Web服务的漏洞,特别是针对PHP解析的DOMPDF漏洞。作者尝试了利用RCE脚本,最终通过创建恶意CSS和HTML文件实现了shell反弹。文章还提到提权过程,利用python执行权限提升攻击。
简介
靶机名称:Convert
难度:简单
靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Convert
本地环境
虚拟机:vitual box
靶场IP(Convert):192.168.56.109
跳板机IP(windows 10):192.168.56.1 192.168.190.100
渗透机IP(ubuntu 22.04):192.168.190.30
扫描
这次用fscan扫
fscan -h 192.168.56.100-110
___ _
/ _ \ ___ ___ _ __ __ _ ___| | __
/ /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__| <
\____/ |___/\___|_| \__,_|\___|_|\_\
fscan version: 1.8.3
start infoscan
(icmp) Target 192.168.56.100 is alive
(icmp) Target 192.168.56.109 is alive
[*] Icmp alive hosts len is: 2
192.168.56.109:80 open
192.168.56.109:22 open
[*] alive ports len is: 2
start vulscan
[*] WebTitle http://192.168.56.109 code:200 len:1026 title:HTML to PDF
[+] PocScan http://192.168.56.109 poc-yaml-phpstudy-nginx-wrong-resolve php
有效端口为22和80。似乎还扫出了个poc,不过应该是误报。
http
一个把网页转换成PDF的工具网站
因为在转换之前会读取网页内容,所以很容易联想到会不会进行php解析。但是尝试了一下失败了,去搜了一下资料:
也确实存在这个路径
╰─ curl http://192.168.56.109/dompdf/
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.22.1</center>
</body>
</html>
searchsploit找到RCE脚本
但实际上这个CVE打不通。后面我尝试了手动实现CVE,具体可以参考下面这个文章:
https://exploit-notes.hdks.org/exploit/web/dompdf-rce/#2.-create-malicious-css
参考这个文章的时候需要注意一点,因为目标网站使用了post传参,所以我们需要手动创建一个html文件来传递参数:
最后curl一下php缓存,即可反弹shell。
然后在era用户目录下得到user.txt
f2be48d6f922bfc0a9bf45b22887c10d
提权
sudo -l,发现可以用python执行脚本。由于
eva@convert:~$ sudo -l
sudo -l
Matching Defaults entries for eva on convert:
env_reset, mail_badpass,
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin,
use_pty
User eva may run the following commands on convert:
(ALL : ALL) NOPASSWD: /usr/bin/python3 /home/eva/pdfgen.py *
因为我们已经实际控制了当前目录的权限,所以及时有没有写权限的文件,也可以通过创建另一个文件覆盖来达到覆盖的目的
然后就是一把梭了
1cc872dad04d177e6732abbedf1e525b
扫一扫
6640
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
