hackthebox—Sau

1、信息收集

fscan扫描ip发现存在22和55555，但是实际上这个fscan扫描的不全

再试试nmap
nmap -sV -sC -sT -v -T4 10.10.11.224

有三个端口，其中80应该是只能内网访问，看来需要借助ssrf了。

2、ssrf

访问55555端口是个Request Baskets，这个存在一个ssrf漏洞，可以用现成的脚本来实现
https://github.com/entr0pie/CVE-2023-27163
先创建一个地址

点击这个设置，把要访问地址输上


最后我们去访问下http://10.10.11.224:55555/yu22x即可看到http://127.0.0.1的内容了

3、命令执行

可以看到这个80页面是用Maltrail搭建的，那么直接搜下这个东西的漏洞
存在命令执行漏洞https://huntr.dev/bounties/be3c5204-fbd9-448d-b97c-96a8d2941e87/
利用方式

username=;`要执行的命令`

不过这 靶机有点奇怪，直接反弹shell不行，但是可以写个sh，然后去执行sh

其中sh文件内容为反弹shell的命令
在/home/puma下得到flag1，直接需要提权
先通过python进入全交互界面
python3 -c 'import pty;pty.spawn("/bin/bash")'
sudo -l查看权限

提示systemctl可以不输入密码执行
去gtfobins上搜下https://gtfobins.github.io/#tra
在交互界面输入!sh即可直接得到root权限