HTB-sau Walkthrough

原文：个人主页原文

运行环境：macOS 13.2.1; Parallel Desktop: Kali Linux 2022.2 ARM64; Windows 11

靶机链接：https://app.hackthebox.com/machines/Sau

过程

信息收集

基础的四项扫描：

在端口扫描时，采用默认的-sS方式，能够扫到-sT方式扫不到的80和8338端口：

扫描完成后， 进行子目录爆破：

Web部分

进入hostname/web/，发现是一个request basket 的Web应用，可以收集各种请求：

创建一个名为sau的basket：

搜索发现该应用存在一个SSRF漏洞CVE-2023-27163：

尝试使用网上的脚本进行利用，但没有成功：

不再尝试网上的poc，继续往下进行。

搜索发现这是一个类似于代理的应用。在设置中可以设置目标的URL。

将访问http://hostname/sau的主机记为主机A（攻击机），主机A想要访问的主机记为主机B。

Forward URL是需要转发到的地址，即主机B地址；

Proxy Response勾选后，主机B的响应会发送回主机A；

Expand Forward勾选后，主机A访问时扩展的部分会被添到Forward URL的后面。如：主机A访问http://hostname/sau/login，如果勾选该项，那么实际访问的就是{Forward URL}/login；否则就是{Forward URL}，后面的/login是无效的。

此处务必要注意勾选后面两个！否则后续的步骤不成立！

在端口扫描过程中发现了一个80端口，但不对外开放。此处将目标URL设为服务器本地地址的80端口进行尝试：

主机立足

设置完成后访问http://hostname/sau，是一个名为Maltrail的恶意流量监测应用。搜索其漏洞：

下载poc镜像到本地，利用成功。获得shell：

获得userflag：

提权

通过sudo -l查看权限后，在GTFOBins查找提权方法并进行提权：

获得systemflag：

总结

1. Request-basket存在SSRF，可以访问服务器本地的80端口
2. Maltrail自身存在漏洞