- 先把pilgrimage加進host裡
-
用nmap掃看看有開啟什麼port, 有開啟22跟80port
-
用dirsearch掃了發現有.git洩漏
- 用githacker下載下來獲得源碼
#quick start
githacker --url http://127.0.0.1/.git/ --output-folder result
-
在index.php裏頭找到他主要執行文件轉換的地方和洩漏資料庫的位置
-
去找看看magick有沒有轉換圖片的漏洞,先看他的版本號
-
用searchsploit 找尋magick漏洞
-
-m是把這個漏洞複製到當前的目錄下
-
查看此漏洞
CVE-2022-44268 ImageMagick任意文件读取漏洞
- 記得要找真的是png檔的,不能自己改檔名
- 確認有把東西加在尾巴上
- 然後上傳這個png,下載轉換後的png,用identify查看詳細資料中的profile
- 拿去用cyberchef進行16進制的轉換可以發現有emily這個帳號
- 先前有發現db洩漏位置 用一樣的方法去讀取他的文件
- 保存為文件打開後在user的table看到了帳號密碼
- 透過帳號密碼成功連上ssh
- 得到user flag
- 用ps auxwww看現在有進行甚麼process(ps 用來顯示當前進程狀態,aux顯示所有包含其他使用者的進程,www是把ps用寬表執行變得好閱讀),發現有/usr/sbin/malwarescan.sh
- 在裡面發現binwalk 查看内容發現是一个bash腳本,功能是在"/var/www/pilgrimage.htb/shrunk/"目錄下監控新創建的腳本。每當有新文件被創建,他會使用"binwalk"命令檢查這個文件。如果文件包含在黑名單列表("Executable script"或"Microsoft executable")中的任何内容,这個文件就會被删除。
- 去看看他的版本號
-
在searchsploit找看看有沒有漏洞 發現有一個版本號也一樣漏洞介紹原理是會通過目錄遍歷覆蓋或者創建某個插件,而这个新寫入的會被binwalk執行
-
-
使用這個腳本生成一個文件
- 開啟一個監聽並透過httpsever把文件傳給emil
- 進入/var/www/pilgrimage.htb/shrunk 後把文件下載下來就提權成功了
- flag 在root下
