hackthebox—Sau

hackthebox—Sau"/>

hackthebox—Sau

文章目录

• • • 1、信息收集
    • 2、ssrf
    • 3、命令执行

1、信息收集

fscan扫描ip发现存在22和55555，但是实际上这个fscan扫描的不全

再试试nmap
nmap -sV -sC -sT -v -T4 10.10.11.224

有三个端口，其中80应该是只能内网访问，看来需要借助ssrf了。

2、ssrf

访问55555端口是个Request Baskets，这个存在一个ssrf漏洞，可以用现成的脚本来实现

先创建一个地址

点击这个设置，把要访问地址输上


最后我们去访问下:55555/yu22x即可看到http://127.0.0.1的内容了

3、命令执行

可以看到这个80页面是用Maltrail搭建的，那么直接搜下这个东西的漏洞
存在命令执行漏洞/bounties/be3c5204-fbd9-448d-b97c-96a8d2941e87/
利用方式

username=;`要执行的命令`

不过这 靶机有点奇怪，直接反弹shell不行，但是可以写个sh，然后去执行sh

其中sh文件内容为反弹shell的命令
在/home/puma下得到flag1，直接需要提权
先通过python进入全交互界面
python3 -c 'import pty;pty.spawn("/bin/bash")'
sudo -l查看权限

提示systemctl可以不输入密码执行
去gtfobins上搜下
在交互界面输入!sh即可直接得到root权限