hackthebox—Sau

文章目录

      • 1、信息收集
      • 2、ssrf
      • 3、命令执行

1、信息收集

fscan扫描ip发现存在22和55555,但是实际上这个fscan扫描的不全
hackthebox—Sau_第1张图片
再试试nmap
nmap -sV -sC -sT -v -T4 10.10.11.224
hackthebox—Sau_第2张图片
有三个端口,其中80应该是只能内网访问,看来需要借助ssrf了。

2、ssrf

访问55555端口是个Request Baskets,这个存在一个ssrf漏洞,可以用现成的脚本来实现
https://github.com/entr0pie/CVE-2023-27163
先创建一个地址
hackthebox—Sau_第3张图片

点击这个设置,把要访问地址输上
hackthebox—Sau_第4张图片
hackthebox—Sau_第5张图片
最后我们去访问下http://10.10.11.224:55555/yu22x即可看到http://127.0.0.1的内容了
hackthebox—Sau_第6张图片

3、命令执行

可以看到这个80页面是用Maltrail搭建的,那么直接搜下这个东西的漏洞
存在命令执行漏洞https://huntr.dev/bounties/be3c5204-fbd9-448d-b97c-96a8d2941e87/
利用方式

username=;`要执行的命令`

不过这 靶机有点奇怪,直接反弹shell不行,但是可以写个sh,然后去执行sh
hackthebox—Sau_第7张图片
其中sh文件内容为反弹shell的命令
在/home/puma下得到flag1,直接需要提权
先通过python进入全交互界面
python3 -c 'import pty;pty.spawn("/bin/bash")'
sudo -l查看权限
hackthebox—Sau_第8张图片
提示systemctl可以不输入密码执行
去gtfobins上搜下https://gtfobins.github.io/#trahackthebox—Sau_第9张图片
在交互界面输入!sh即可直接得到root权限

你可能感兴趣的:(hackthebox,渗透)