HTB-Pilgrimage
- 信息收集
- 80端口
- 立足
- emily -> root
信息收集
80端口
扫描目录发现存在.git。
通过scrabble获取网站的git文件。
有如下这些文件。
在index.php中使用了magick来处理图像。
正好我们靠git弄了一个,查看一下版本。
这个版本似乎有些不得了的东西。
我们需要先下一个cargo,然后使用cargo run "/etc/passwd"会生存一个image.png文件。
然后上传这个文件。
再把它下载下来。
使用 identify -verbose ~/Downloads/649d95d90cfa2.png查看结果。如果存在/etc/passwd那么结果会有一大堆字符。
python3 -c "print(bytes.fromhex('')"
处理一下就变成这样了。
立足
这有一个数据库。
这开头是SQLite。
这使用010来操作。
将处理好的字符串复制后并在010中选择从Hex文本粘贴。
emily -> root
使用ps auxwww发现存在一个有趣的东西。
内容如下。
先说大致意思吧。
#!/bin/bash
blacklist=("Executable script" "Microsoft executable") #黑名单
/usr/bin/inotifywait -m -e create /var/www/pilgrimage.htb/shrunk/ | while read FILE; do
#inotifywait 监视/var/www/pilgrimage.htb/shrunk/如果存在create则将新建的文件名(绝对路径)给FILE
filename="/var/www/pilgrimage.htb/shrunk/$(/usr/bin/echo "$FILE" | /usr/bin/tail -n 1 | /usr/bin/sed -n -e 's/^.*CREATE //p')"
#将绝对路径处理好给filename
binout="$(/usr/local/bin/binwalk -e "$filename")"
#使用binwalk来查看文件扩展
for banned in "${blacklist[@]}"; do
if [[ "$binout" == *"$banned"* ]]; then
/usr/bin/rm "$filename"
#如果文件扩展在黑名单内,就会执行rm删除文件。
break
fi
done
done
首先可能会想到修改文件名来尝试执行命令,不过我试了几次失败了。
但是这个脚本使用了/usr/bin/inotifywait和/usr/local/bin/binwalk。其中可以知道binwalk的版本。
使用如下
随后会在当前目录生成一个binwalk_exploit.png。将其改名或直接wget到/var/www/pilgrimage.htb/shrunk目录即可获得反弹。
